Доброго времени суток!

Есть сущность Право - которое может быть назначено как напрямую пользователю, так и ролям, в составе которых находятся пользователи.

Проект классический spring + spring-security версии 5.1.5
Подключил UserDetailService, хотел использовать аннотацию preauthorize hasauthority - но она проверяет только то, что аутентифицированный пользователь должен входить в заявленную роль, в значении hasauthority

Что использовать, если необходимо проверять доступ к отдельному сервису, как вхождением в роль, так и обладанием определенного права, как в составе отдельной роли, так и напрямую?

Petro123,

Пример:

Пользователь1, Пользователь2
Роль1, Роль2
Пользователь 1 входит в состав Роль1
Право1(доступ к очень важной информации) выдано Роль1 и Пользователь2 (так как этот пользователь очень важный, или существует в единственном экземпляре и не хотелось бы придумывать ему отдельную Роль, и должен иметь доступ только к этому праву)

В итоге нужна аннотация на рест сервис, которая содержит Право1, и доступ к этому сервису должны получить как Пользователь1 (так как у него есть Роль1), так и Пользователь2 (так как он имеет доступ к Праву1)

Технически, это три сущности (Пользователь, Роль, Право)
И две таблицы ПользовательРоль (связь многие ко многим, так как у пользователя может быть несколько ролей, так и роль может принадлежать многим пользователям) и таблица ПравоМаппинг (в которой связь ПравоРольПользователь многие ко многим)

Понятно, что если бы не нужно быль выдавать права отдельным пользователям, минуя роли - то это можно было бы сделать через hasAnyAuthority

Интересовало, можно ли это сделать стандартными средствами spring security
Сейчас пытаюсь понять подойдет ли hasPermission

Sergunka,

Спасибо за ответ!
К сожалению этот рецепт не подойдет в моей конкретной ситуации

chpasha,

Смысл отдельных прав - возможность гибкой кастомизации
1 Право - по сути - доступ к одному рест-сервису - доступ к отдельной, конкретной функциональности. И можно этим гибко управлять выдавая как отдельным ролям этом право, так и напрямую пользователю (по количеству ролей тоже есть ограничение и нельзя их плодить без веской на это причины)

Я собственно реализовал это через кастомную аннотацию, без использования spring security
(тут еще допущение, что пользователь - приходит уже аутентифицированным (через заголовок http запроса)), и эта аннотация проверяла запрос на валидность, по заголовку пользователя определяла - есть ли у пользователя такое-то право напрямую или через роль - и давала доступ или отменяла его.
На что мне указали - что стоит рассмотреть использование spring security - и я пытаюсь понять возможно ли это сделать из коробки, ну и попутно разбираюсь с технологией

Petro123,

Свелосипедил)) Да и, имхо, - это лежит на поверхности

Создавать отдельную роль TOP_SECRET_ROLE - не хочется, так как по сути есть штатно зафиксированный состав ролей, и создавать роль для одного права - не хотелось
Хотя, конечно, я прихожу к выводу что это правильно - и не стоит использовать хак с выдачей permission помимо роли

И спасибо за ссылки на MAC и RBAC - так понятнее

chpasha,

Да я собственно так и сделал в какой-то момент, выгреб все права и проверял их наличие в hasAuthority.
Вот только в режиме дебага - там были не права, а роли с префиксом ROLE_, немного не те данные и это смутило

Спасибо, вроде бы более менее возникло понимание, буду пробовать