Spring Security

Question

我刚刚开始学习spring security。考虑一下

  <security:form-login always-use-default-target="false"
   authentication-failure-url="/login.do?error=1" default-target-url="admin/admin.do"
   login-page="/login.do?error=0" login-processing-url="/j_security_check" />

目前，所有登录的用户都可以访问管理页面。如果我需要限制用户的管理页面的授权，例如，如果用户有ROLE_UPDATE..what需要这样做。是否类似于...非jee.xml文件中的内容。

或者，我是否需要更改应用程序代码，以便它查找已使用表单成功登录的用户的"ROLE_UPDATE“。

Answer 1

意识到这个问题已经过时了，但对于那些找到这个问题的人来说...详细信息可以在这里找到，其中有很好的示例和文档：http://docs.spring.io/spring-security/site/docs/4.0.0.RELEASE/reference/htmlsingle/#authorization

最常见的场景是每个用户都有一个分配给他们的角色集合。然后，您可以按角色限制功能。该功能可以是urls和/或方法。由于您的示例显示了一个XML配置，因此下面是一个XML示例，说明如何限制对URL的访问。(注意:这是在配置的http部分，即。您在上面显示的表单登录的同级)

<http>
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')"/>
    <form-login ... />
</http>

还有更复杂的选项，但这应该是您的入门。这里有一个包含一些好细节的部分：http://docs.spring.io/spring-security/site/docs/4.0.0.RELEASE/reference/htmlsingle/#ns-form-and-basic