自定义用户组的Spring安全授权

Question

我正在尝试实现一个具有spring安全性的web应用程序。我理解基于角色的弹簧安全机制，并能让它发挥作用。我的问题是，在我的网络应用程序中，用户可以创建自己的小组，并在其中添加朋友(应用程序的其他用户)。用户对某些页面的访问是基于这个朋友组的。它的工作方式应该与facebook用户和组类似。如何使用spring安全实现这些自定义用户组和对用户页的访问？这个用例有默认的机制吗？还是应该实现自己的DB表？

Answer 1

我使用带有ACL机制的用户组。基本上，我确保在为对象创建ACL时设置了所有者。然后，当另一个用户试图访问该对象时，将检查所有者的组，以确定是否有匹配。

当然，这意味着当用户更改其组时，对象就会“随他而去”。

如果不想要这种行为，可以将组对象的ACL作为安全对象的父acl。然后，当用户更改组时，应该为组对象ACL设置正确的条目。这样，安全对象就绑定到用户组，而不是用户本人。

Spring安全域对象安全性(ACL)