Java EEのオブジェクトに対する承認

Question

私のWebアプリケーションでは、ユーザーに表示されるコンテンツへのアクセス制御が必要です。すべてのユーザーが同じページにアクセスしている可能性がありますが、表示されるコンテンツはアクセス権によって異なります。

例えば、私は次のようなデータを持っている場合：RoleAに属する

Book | Roles 
__________________________________ 
    foo  | RoleA 
    bar  | RoleB 
    baz  | RoleA, RoleB 

ユーザーがfoo & bazが表示されます。

私はすでにこれを行うことができるフレームワークを探しています。 Data Access control in Java EE technologiesの要件は私のものに似ており、Spring Securityが提案されています。

しかし、コードを変更して再デプロイする必要なく、UIを通じてアクセス権を変更できるようにしたいと考えています。 Spring Securityや他のフレームワークでこれを行うことはできますか？

Answer 1

はいこれは実際にSpring Securityの主な機能の1つです。

ユーザーがSpring Security経由でログインすると、UserDetailsServiceが追加のメタデータとユーザー権限をロードするために使用されます。 UserDetailsServiceはDAOに似ており、通常、DBに接続してセキュリティコンテキストでユーザーデータを読み込むために使用されます。

あなたのセキュリティ名前空間の設定にUserDetailsServiceを定義することができます。

Thisは、あなたの書き込みに役立ちます。

Answer 2

私はドメインオブジェクトのセキュリティが私がやろうとしていることを記述していると思いますし、春のセキュリティはこれを行うアクセス制御リストコンポーネントを持っています。

はじめに参照文書hereからの紹介。