我知道这似乎是一个奇怪的要求,但当客户需要时,我们别无选择。 我正在开发一个网络应用程序(电子商务),需要注册一个新客户,到目前为止一切正常。 但是有以下情况的要求
由于这些用例并不适用于特定类别,而是适用于整个 Web 应用程序,我不确定我们如何才能最好地实现这一点。 我想到了几个选项
HandlerInterceptor,它将在执行实际请求之前检查客户角色。但不确定我的思考方向是否正确以及我们应该如何强制对此类客户进行只读访问。因为我们必须阻止此类客户
最佳答案
最好的方法是采用简单的基于角色的访问控制机制 (RBAC)。 Spring Security 对此提供了很好的支持并且易于使用。
您应该创建一个新角色(例如“FULL_ACCESS”)并根据用户的电子邮件地址将其分配给正确的用户。该角色应涵盖具有完全访问权限的用户,而不是您所建议的具有只读权限的用户。
您通常在 UserDetailsService 的实现中确定当前用户的角色。您可以使用 org.springframework.security.core.authority.SimpleGrantedAuthority 作为您的 GrantedAuthority 实现(在您的上下文中,GrantedAuthority 与角色相同)。从您的 UserDetailsService 返回的 GrantedAuthorities 存储在您用户的 Authentication 对象中,并在整个用户 session 有效期内可用。
这种方法还允许您轻松地将用户从只读模式更改为完整模式(例如,在批准注册后),方法是在批准后用户下次登录时添加“FULL_ACCESS”角色。
填充 GrantedAuthorities 后,您可以使用声明式和编程式授权方式。对于编程授权(直接在您的代码中完成的授权)使用例如:
if (request.isUserInRole("FULL_ACCESS")) {
// Only for users with full acccess
}
对于声明式授权(在您的配置文件中声明的授权或作为代码的注释),您可以使用 securing of method calls with aspects or annotations .
您还可以使用 expression-based access control 以声明方式保护 URL , 但前两种方法更合适。具有完全访问权限和只读访问权限的用户可以访问相同的 URL,这使得该技术难以用于您的用例。
Spring Security 还提供了一组aurhorization JSP tags这可能会帮助您为不同类型的用户正确呈现您的 UI。
您可以结合使用上述技术来强制执行问题中提到的所有 5 个业务逻辑点。
关于java - 对特定登录客户的只读权限 | Spring MVC,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23088597/
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht
这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/
HashMap中为什么引入红黑树,而不是AVL树呢1.概述开始学习这个知识点之前我们需要知道,在JDK1.8以及之前,针对HashMap有什么不同。JDK1.7的时候,HashMap的底层实现是数组+链表JDK1.8的时候,HashMap的底层实现是数组+链表+红黑树我们要思考一个问题,为什么要从链表转为红黑树呢。首先先让我们了解下链表有什么不好???2.链表上述的截图其实就是链表的结构,我们来看下链表的增删改查的时间复杂度增:因为链表不是线性结构,所以每次添加的时候,只需要移动一个节点,所以可以理解为复杂度是N(1)删:算法时间复杂度跟增保持一致查:既然是非线性结构,所以查询某一个节点的时候
在读取/解析文件(使用Ruby)时忽略某些行的最佳方法是什么?我正在尝试仅解析Cucumber.feature文件中的场景,并希望跳过不以Scenario/Given/When/Then/And/But开头的行。下面的代码有效,但它很荒谬,所以我正在寻找一个聪明的解决方案:)File.open(file).each_linedo|line|line.chomp!nextifline.empty?nextifline.include?"#"nextifline.include?"Feature"nextifline.include?"Inorder"nextifline.include?
遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg
我基本上来自Java背景并且努力理解Ruby中的模运算。(5%3)(-5%3)(5%-3)(-5%-3)Java中的上述操作产生,2个-22个-2但在Ruby中,相同的表达式会产生21个-1-2.Ruby在逻辑上有多擅长这个?模块操作在Ruby中是如何实现的?如果将同一个操作定义为一个web服务,两个服务如何匹配逻辑。 最佳答案 在Java中,模运算的结果与被除数的符号相同。在Ruby中,它与除数的符号相同。remainder()在Ruby中与被除数的符号相同。您可能还想引用modulooperation.
Java的Collections.unmodifiableList和Collections.unmodifiableMap在Ruby标准API中是否有等价物? 最佳答案 使用freeze应用程序接口(interface):Preventsfurthermodificationstoobj.ARuntimeErrorwillberaisedifmodificationisattempted.Thereisnowaytounfreezeafrozenobject.SeealsoObject#frozen?.Thismethodretur