Spring Security に GET 変数を介して承認を処理させようとしています。私が見つけることができたすべての例は、ほとんど完全に役割ベースの承認に焦点を当てていますが、これは私のアプリケーションでは実際には機能しません。認証/承認プロセスが機能するために必要な方法は次のとおりです。
- ユーザーは外部システムを介して認証し、セッション ID を取得します。
- ユーザーは、sessionId と objectId の 2 つの GET パラメータをアプリケーションに渡します。
- アプリケーションは、セッションが有効であることを確認します (この部分は既に把握されています)
- アプリケーションは、オブジェクトがユーザーに表示されていることを確認します (ここでヘルプが必要です)
- アプリケーションがオブジェクト情報をユーザーに返す
私が見たすべての例は、Spring Security が URL パターンまたは Java メソッドで付与された権限をいかに強力にチェックできるかを示しています。ただし、ステップ 4 でカスタム チェックを実装して、ユーザーがバックエンドで適切なアクセス許可を持っていることを確認する必要があります (ユーザーにはオブジェクト固有の権限を付与できるため、ロール アプローチはここでは機能しません)。
私は Spring Security を初めて使用するので、私の思考プロセスがまったく間違っている可能性があります。もしそうなら、遠慮なく訂正してください!