oauth2做rbac权限控制的问题
来源:6-4 权限控制改造
栽下梧桐树
2020-05-23
jojo老师您好,有几个问题困扰很久了,希望您指导下。
1、用oauth2做rbac的权限模式的时候,是否可以将后台某一个用户的全部权限(有可能很多)都放到UserDetails的authorities中吗,这样就可以直接在方法上用springsecurity的权限注解hasRole这种注解直接判断和shiro差不多?
3、用您后来说的自定义的OAuth2WebSecurityExpressionHandler,这种就是每次有请求的时候都要去判断是否有权限,难道每次都要用字符串匹配的这种策略吗,毕竟有的时候get请求url还是很长的,不然如何得知改用户有该url的访问权限呢。
写回答
1回答
-
当然可以。简单场景可以这么做。复杂场景不建议这么做。因为权限注解属于硬编码,如果权限变化要改代码就不好了。
是的,每次匹配,字符串匹配不会是瓶颈。性能瓶颈永远出在IO上,比如访问数据库,访问外部服务等。
012020-05-25
相似问题