Warum benötigt der RoleVoter von Spring Security ein Präfix?

Question

In unserer Anwendung planten wir den RoleVoter Mechanismus zu verwenden, aber wir möchten, dass der ROLE_ Präfix entfernen, da die Sicherheit, die wir implementieren, werden mehr Aufgabe als Rolle Basis beruht.

Technisch gibt es kein Problem für die Implementierung, aber ich fand in der Dokumentation, dass using the RoleVoter with an empty prefix should be discouraged.

Ich frage mich warum?

AFAICS, das einzige Problem ist, dass, ohne das Präfix, das RoleVoter in Entscheidungen teilnehmen werden, dass es nicht zu gemeint ist (wie die IS_AUTHENTICATED_FULLY, IS_AUTHENTICATED_REMEMBERED, ...) und könnte einen Zugang gibt statt einer Enthaltung verweigert .

Könnten Sie bitte bestätigen, dass dies das einzige Problem mit einem leeren Präfix ist?

Vielen Dank im Voraus M.

Answer 1

Ja. Wenn Sie mehrere Wähler oder einen benutzerdefinierten Wähler verwenden, müssen sie wissen, welche Attribute sie verwenden sollen. Wenn Sie beispielsweise eine DayOfTheWeekVoter haben und eine Ressource mit den Attributen ROLE_USER,DAY_MONDAY definiert ist, kann die RoleVoter möglicherweise den Zugriff gewähren, da der Benutzer die Rolle "Benutzer" hat, aber die DayOfTheWeekVoter den Zugriff möglicherweise verweigert, weil es kein Montag ist.

Wenn Sie RoleVoter nicht mit einem Präfix konfigurieren, wird überprüft, ob dem Benutzer die Berechtigung "DAY_MONDAY" zugewiesen wurde, und dieses Szenario funktioniert nicht. Wenn Sie nur an Rollen interessiert sind, können Sie auf ein Präfix verzichten oder Ausdrücke (wie hasRole('user')) verwenden, die keine RoleVoter verwenden.