彈簧安全分割驗證和授權

Question

我正在嘗試爲彈性安全的Flex Web應用創建自定義登錄。 我有一個工作版本，我們使用channelset.login blazeds。

我遇到的問題是我想拆分認證和授權。

我想要求用戶在身份驗證後做出一些選擇以確定其角色。

由於用戶被授權的角色由該選擇決定。

這意味着用戶必須進行身份驗證，然後客戶端需要對服務執行服務調用，然後需要執行授權過程。

有誰知道這是否可能，並有一些如何做到這一點的提示？

由於提前，

羅

Answer 1

是的，這聽起來不是太牽強了。 您可以將用戶角色存儲在數據庫中，爲新用戶創建類似SIGNUP的每個角色，只有在用戶確定新角色後才允許用戶註冊，只需更新角色並限制新角色無法更新角色再次，除非你是管理員。

您還可以覆蓋認證過程做任何你想做的事：http://mark.koli.ch/2010/07/spring-3-and-spring-security-setting-your-own-custom-j-spring-security-check-filter-processes-url.html

會話對象可能需要，如果你正在使用某種形式的ORM的被刷新。