私は、認証にSpring Security(バージョン3.0.5)を使用し、ユーザーのグループを大まかに定義する標準のRBACを使用するコンテンツ管理タイプのWebアプリに取り組んでいます。
アプリケーションの機能の1つは、特定の役割を持つユーザー(管理者など)が、個々のユーザー(または個々のユーザーのグループ)に特定のコンテンツアイテムにアクセスするためのアクセス許可を構成し、実行できる操作を制御できるようにすることです。そのコンテンツ(たとえば、読み取り/書き込み/削除だけでなく、エクスポート、印刷、共有、アクセス許可の付与など)。また、これらの管理ユーザーは、一般的に使用される権限セットをカプセル化するロールを定義します。したがって、アクセス制御リストが必要になるようです。
しかし、Spring ACLのドキュメントを読むと、エンドユーザーによる実行時のロール/ユーザーのこの種の動的定義がサポートされているかどうかは少しわかりません。Spring ACLの主な「すぐに使える」ユースケースでは、アプリケーション自体で宣言された静的定義を使用しているように思われます。
可能であればSpringACLを使用したいと思います。最も魅力的に見える利点は、a)パフォーマンスの高いビットマスク操作、b)ビジネスコードの外部でプロキシをラップする際にアクセス許可のルックアップを維持すること、c)標準テクノロジです。ただし、ユースケースに対応するために、ほとんどのSpringセキュリティインターフェイスを再実装する必要がある場合は、独自のインターフェイスを使用することもできます。
では、この種のユースケースでSpringACLを正常に使用した人がいるかどうかを尋ねたいと思います。役割と権限がユーザーによって変更されるため、実行時にSpring ACLテーブルをプログラムで動的に変更することをお勧めしますか、または推奨しませんか?
ありがとう
リチャード