Spring Security - 如何直接调用访问控制方法？

Question

关于如何使用jsp标签，aop，注释，应用程序上下文以及所有这些类型的东西有很多文档......但是如何直接访问访问控制方法？我需要创建什么课程？有我需要注意的隐藏的bean吗？它似乎并不像SecurityContextHolder是正确的地方看看。

我希望做的是这样的：

if(springSecurityObject.isAuthorized("hasAnyRole('DIRECTOR', 'ADMIN')")) { 
    // ... do something 
} 

甚至更​​好：

if(springSecurityObject.hasAnyRole('DIRECTOR', 'ADMIN')) { 
    // ... do something 
} 

谢谢！

编辑：好像春天的安全的人使用授予的权限，用户对象本身：

https://fisheye.springsource.org/browse/spring-security/taglibs/src/main/java/org/springframework/security/taglibs/authz/AbstractAuthorizeTag.java?r=fc399af136492c6c37cdddca6d44e5fe57f69680

我认为这很可能是有帮助的，如果他们中抽象出一吨这段代码并将其放入一组不错的类中 - 标签库和实际用户都可以使用。毕竟他们是私人助手方法......他们应该可能存在于某些类中的普通气味。

由于他们手动进行管道工作，我想我必须假设我想要的东西不存在。

Answer 1

我能想到的是手动调用您的UserDetailsService，号召返回AuthenticationgetAuthorities()，然后调用返回的集合或containsAll()的唯一的事情。

所以你会碰到这样的：

final UserDetails jimmyDetails = myDetailsService.loadUserByUsername("Jimmy"); 
final Collection<GrantedAuthority> jimmyAuthorities = jimmyDetails.getAuthorities(); 

// make it a Collection<String> by iterating and calling .getAuthority() 

plainAuthorities.contains("ROLE_YOU_NEED_TO_CHECK_FOR"); 

编写自己的helper方法做到这一点不会太硬，虽然我同意让他们在API中就好了。