如何manange Spring Security的多重角色和子路徑

Question

下面是我的一塊當前春季安全配置：

... 
<intercept-url pattern="/foo/bar/**" access="hasRole('adminViewer')" /> 
<intercept-url pattern="/foo/**" access="hasRole('admin')" /> 
.... 

這基本上讓管理員foo/下訪問該網站的任何部分，並一個adminViewer訪問只有下面的區域foo/bar/。

到目前爲止，它的工作正常，除了角色爲admin和adminViewer的用戶。在這種情況下，adminViewer也被允許訪問管理專區，因爲它也是admin。

是否可以通過禁止訪問/foo/來明確縮小adminViewer權限，如forbid-access或類似的東西？或者我有什麼缺點？

Answer 1

正如Pavel Horal指出的那樣，你的問題似乎並沒有多大意義。您應該專注於在權限和限制不重疊的情況下創建明確的角色。

話雖這麼說，你可以改變你的表情像這樣讓你期望的結果：

<intercept-url pattern="/foo/**" access="hasRole('admin') and (!hasRole('adminViewer'))" />