Как использовать суперпользователя с использованием Spring Security Framework?

Question

Я использую Spring Security контролировать власть в моем веб application.I импортировал безопасности тега в моем коде, как показано ниже:
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
Затем я использую блок кода, как это контролировать, если пользователь имеет доступ к указанная кнопка:

<sec:authorize ifAnyGranted="addUser"> 
    <button type="button">Add User</button> 
</sec:authorize> 

с помощью этого кода, только пользователь, который имеет AddUser власти может видеть эту кнопку и использовать его.

Теперь мой вопрос: Можем ли мы иметь суперпользователя, что даже если у него нет полномочий addUser, он все еще может видеть эту кнопку?

Answer 1

Нет, я не думаю, что в Spring Security есть встроенная функция. Вы можете:

1. есть супер роли пользователя (органа), который вы проверяете для в каждой проверки авторизации или

2. дайте свой суперпользователя все возможные органы вашего провайдера аутентификации или данные пользователей сервиса.

Answer 2

Я не уверен, что это ожидаемый ответ, но SpringSecurity имеет понятие иерархии ролей. Это означает, что вы можете создать суперпользовательскую роль и объявить ее содержащей addUser авторитет (среди прочих).

Таким образом, любой пользователь, имеющий superUser власти будет (среди других разрешений) см вашей кнопки

Ссылки: От Hierarchical Roles в справочном руководстве Spring Security вы могли бы написать что-то вроде

<bean id="roleHierarchy" 
     class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl"> 
    <property name="hierarchy"> 
     <value> 
      ROLE_SUPER_USER > ROLE_ADD_USER 
     </value> 
    </property> 
</bean> 

Answer 3

Похоже, что это недостающее требование, поэтому я создал проблему в репозитории Spring Security:

https://github.com/spring-guides/top-spring-security-architecture/issues/5