Spring Security 2 et les autorisations sur le terrain FormBean

Question

Disons que j'ai un gestionnaire dans un contrôleur Spring MVC:

@RequestMapping 
public String myHandler(Model m, @RequestParam MyEntity entity) 

Cependant, MyEntity a plusieurs domaines, dont certains ont besoin des autorisations différentes pour être en mesure d'afficher ou de mise à jour. Actuellement, je remplis un objet FormBean à partir de l'objet entité mais à ce moment je ne sais pas ce qui a été défini par la requête, donc je ne peux pas vérifier champ par champ. Des idées sur la façon de gérer cela correctement? Je souhaite être en mesure de spécifier un rôle spécifique pour chaque champ requis pour l'afficher ou le mettre à jour.

Answer 1

Le meilleur comme je l'ai vu pour résoudre ce utilise la fonctionnalité InitBinder et setAllowedFields, le forum post suivant traite ceci:

http://forum.springframework.org/showthread.php?t=10820

Answer 2

Si vous utilisez la sécurité des conteneurs et avoir accès à HttpServletRequest, vous pouvez peut-être tirer parti de l'utilisation de la méthode « isUserInRole » sur les HttpServletRequest (http://download.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#isUserInRole%28java.lang.String%29)

par exemple:

boolean canEditEmail = request.isUserInRole("ROLE_EDIT_EMAIL");