Tag: security roles

用于层次结构树角色的Spring Security / Java EE解决方案

我知道Spring Security适用于标准角色和基于权限的授权。 我不确定这种情况： 系统中管理着10,000名员工，员工组织成组织结构图（一组人员向各部门报告）。 其中一些员工是用户。 这些用户仅被允许访问其职责范围内的员工（他们在树中的分支/其员工的后代）。 所以我想知道现代Java EE（或其他）系统如何管理这些检查？ Spring Security（ACL）可以做到这一点吗？如何建模？ 我们的旧实现（多年前）是当用户访问员工时，我们可以通过递归树来检查所请求的员工是否是后代。 但这不是理想的解决方案，我们希望使用新的解决方案。

为什么我在jdbcRealm数据库中列出web.xml中的安全角色？

我在Glassfish 3上运行JavaEE 6 Web应用程序。我使用JAAS和jdbcRealm以及默认主体到角色映射。 在我的数据库中，我有用于将用户名映射到其角色的表： username | role ———-+——- john | admin mary | user 为什么我需要在web.xml再次列出这些角色？ admin user 没有它， isUserInRole()总是返回false 。