Spring-security拆分认证和授权

Question

我正在尝试使用spring-security为我的flex web应用程序创建一个自定义登录。我有一个工作版本，我们使用带有blazeds的channelset.login。

我遇到的问题是，我希望将身份验证和授权分开。

我想请用户在身份验证后做出一些选择，以确定其角色。

因为用户被授权的角色是由这个选择决定的。

这意味着必须对用户进行身份验证，然后客户端需要对服务进行服务调用，然后需要进行授权过程。

有没有人知道这是不是可能的，并对如何做到这一点有一些建议？

提前谢谢你，

Arjen

Answer 1

是的，这听起来并不牵强。您可以将用户角色存储在数据库中，将新用户的每个角色设置为只允许用户注册的注册，一旦确定了用户的新角色，只需更新该角色并限制新角色再次更新该角色，除非您是管理员。

您还可以覆盖身份验证过程来执行您想做的任何事情：http://mark.koli.ch/2010/07/spring-3-and-spring-security-setting-your-own-custom-j-spring-security-check-filter-processes-url.html

如果您正在使用某种形式的ORM，则可能需要刷新会话对象。