我正在使用spring安全@PreAuthorise來檢查誰和誰不能訪問我的服務層中的方法。它工作得很好。通常我的服務方式是用Spring安全@PreAuthorize(「hasAnyRole('....')」)
@PreAuthorize("hasAnyRole('MY_USER_ROLE')")
我的問題是我有一個由多個jar文件組成的war文件。這些jar文件中的每一個都負責一段業務邏輯。我現在想讓一個jar文件中的某個服務訪問另一個jar文件中的另一個服務。這由於權限而被拒絕。如果我註釋掉權限,那麼一切正常。
無論如何,我可以在撥打此服務前通過春季進行身份驗證嗎? (也許用一個虛擬用戶?)或者關閉相同應用程序內的罐子的安全性?還是我的設計錯了?
其他人都有這種問題?我應該用什麼樣的設計呢?
嗨!我認爲你的潛在問題是一個設計問題。正如你所說的那樣,被其他服務調用的服務似乎應該被分成兩部分,一部分具有權限,另一部分具有特徵或行爲,後者被服務訪問的_private_僅限層。它可能無法實現,因爲你的jar分離,但我認爲它會更整潔。 – coya