下面是我的一塊當前春季安全配置:如何manange Spring Security的多重角色和子路徑
...
<intercept-url pattern="/foo/bar/**" access="hasRole('adminViewer')" />
<intercept-url pattern="/foo/**" access="hasRole('admin')" />
....
這基本上讓管理員foo/
下訪問該網站的任何部分,並一個adminViewer訪問只有下面的區域foo/bar/
。
到目前爲止,它的工作正常,除了角色爲admin
和adminViewer
的用戶。在這種情況下,adminViewer
也被允許訪問管理專區,因爲它也是admin
。
是否可以通過禁止訪問/foo/
來明確縮小adminViewer
權限,如forbid-access
或類似的東西?或者我有什麼缺點?
如果用戶有兩個角色你爲什麼要限制他? –