Сочетания ограничений доступа безопасности с использованием Grails

Question

Я использую весну-безопасность-ядро + весну-безопасность-покой, и в большинстве конечных точек я с помощью URL статических правил в Config.groovy

например,

'/app/clientdata/**':    ['IS_AUTHENTICATED_FULLY'], 
'/app/opendata/**':    ['permitAll'],  
'/app/secretdata/**':    ['hasRole("ADMIN_ROLE")'], 

Однако для некоторых конечных точек я заинтересован в ограничениях по HTTP метод (GET, POST, ...) или с помощью метода объекта.

Вопрос в том ... должен/может ли я смешивать различные подходы к обеспечению безопасности (url static rules + аннотация, основанная на классе, по методу)?

и

Есть ли вариант, что позволяет мне ограничить на основе HTTP МЕТОДЫ ... например некоторые методы с одной ролью другие с другой ролью?

Спасибо,

Answer 1

Кроме того, как я уже испытал это вполне возможно смешивать эти два различных способа, так что вы можете определить «/ приложение/opendata/**»: [ «permitAll»], а затем определите более ограничительное ограничение на уровне объектных методов с помощью @Secured (["ROLE_XXX"])

Answer 2

Да, но это новый и еще не документированы. Вместо использования простой карты, такой как текущий стиль, где ключ является шаблоном, а значение - список ролей и выражений, каждая строка представляет собой карту с тремя ключами; pattern, access и httpMethod с httpMethod является необязательным для каждой строки. Так что это будет выглядеть как

[ 
    [pattern: '/app/clientdata/**', access: ['IS_AUTHENTICATED_FULLY'], httpMethod: 'GET'], 
    [pattern: '/app/opendata/**', access: ['permitAll']], 
    [pattern: '/app/secretdata/**', access: ['hasRole("ADMIN_ROLE")'], httpMethod: 'POST'] 
]