Использование пользовательских комментариев безопасности безопасности

Question

Я пытаюсь использовать примечания безопасности springs, такие как @PreAuthorize и @Secured, но я хочу оценить пользователя не на роли, но имеют ли они разрешения для определенного объекта в этом случае фирмы , В моем контроллере я получаю http-запрос, содержащий firmId в качестве параметра, и я хочу убедиться, что этот пользователь получил разрешение на эту фирму. Возможно ли это с помощью текущих весенних аннотаций безопасности ?. Я ищу элегантное решение, я смотрел на специализированные валидаторы ограничений как часть спецификации jsr303. Заголовок метода ниже.

public ModelAndView getSessionsJson(HttpServletRequest request, 
    HttpServletResponse response) throws ServletRequestBindingException {} 

Answer 1

Я думаю, что вы можете сделать что-то вроде этого:

public ModelAndView getSessionsJson(HttpServletRequest request, HttpServletResponse response) throws ServletRequestBindingException { 
    Integer firmId = getFirmId(request); 
    Firm firm = getFirmById(firmId); 
    doSomeBusinessLogic(firm); 
    ..... 
} 

@PreAuthorize("hasPermission(#firm, 'admin')") 
public void doSomeBusinessLogic(Firm firm) { 
    .... 
} 

.... 

использованием pre and post annotations в связке с ACL module. Конечно, прежде чем вам нужно настроить ACL DB schema и подготовить разрешения ACL для каждого фирменного объекта.