基於多個條件的授權

Question

當我們在代碼的下面寫代碼時，我們只限制對用戶角色ROLE_ADMIN的訪問。

<intercept-url pattern="/admin**" access="hasRole('ROLE_ADMIN')" /> 

如何根據多個條件限制多個url？ 例如：如果我們有產品應用程序（比如說有10種產品），每個用戶只能訪問3種產品。現在我的情況是，如果用戶角色是ROLE_ADMIN並且有權訪問產品1,2,5，則給予自動限制，否則限制它。

Answer 1

我建議不要在Spring Security過濾器中處理字段級別的安全性。推薦看看這個spring.io video。現場級別的安全性在時間1.00.00（1小時）左右解釋。彼得Humpfrey使用Java配置，但它應該沒關係。