我在我的项目中使用Spring-Security .
我有像Admin(ROLE_ADMIN),Manager(ROLE_MANAGER),User(ROLE_USER)这样的用户 . 每个都有角色和权限 .
Admin拥有所有权限,manager具有Add,Edit和View,用户具有Add和View .
我想根据权限而非角色配置授权 .
Page A :只有管理员和经理可以访问,他们需要添加,查看,编辑权限 .
Page B :所有用户都可以访问此页面,但需要添加,查看 .
在这里,用户可以轻松访问页面A,因为他们具有“添加”和“查看”权限 .
我在提供程序实现中做了以下事情 .
-
获取用户角色 .
-
根据角色获取权限 .
-
将所有权限放在GrantedAuthority列表中 .
我是否应该在GrantedAuthority列表中添加该角色的所有权限?
能否请您给我一个配置部分的建议 .