我如何管理java類中的spring security url模式而不是xml config

Question

我是Spring安全性的初學者，我對此有疑問（（我使用了spring security 3.1））。 我有一個項目，我必須從Db而不是springSecurity應用程序上下文中讀取所有spring security url模式。

我該怎麼辦？ 我的觀點是我如何管理對java類中特殊url的訪問，而不是在springSecurity應用程序上下文中使用下面的配置。

<intercept-url pattern="/customer/showAll" access="hasAnyRole('OPERATOR,ADMIN')"/> 

謝謝

Answer 1

您可以提供自己的實現的FilterInvocationSecurityMetadataSource。 在Collection getAttributes（Object object）方法中，您可以從DB（see default implementation）加載模式和訪問參數。 每個模式必須轉換爲RequestMatcher對象。訪問屬性值必須轉換爲ConfigAttribute對象的集合。作爲輸入對象，您將有傳入請求。您必須從數據庫填充requestMap。 See here如何配置Spring Security使用您自己的FilterInvocationSecurityMetadataSource實現而不是默認的ExpressionBasedFilterInvocationSecurityMetadataSource。