Grails - 只能访问对象的所有者

Question

我还在研究我的第一个Grails应用程序。这一次，我的问题是限制特定用户访问某些操作。

假设用户添加一些对象，例如，图书。我想授予访问权限，只允许管理员和添加图书的用户编辑图书。我目前正在使用Acegi插件。我知道该插件有更新的版本，但我不确定它是否会改变我的问题。

第二件事是某种类似的。我有一个边栏，有“Hello $ {currentUser.username}。currentUser是一个返回当前登录用户的实例的方法。但问题是，我不知道我可以在哪里放置此消息在任何地方都可以使用它，我应该把它放在一些服务中，并将它包含在任何地方吗？我尝试创建一个由所有其他控制器扩展的ApplicationController，但似乎并不奏效。谢谢！ Grzegorz

Answer 1

你应该使用更新的Spring Security Core插件，因为它有一个ACL附加插件，它完全符合你的需求。详情请参阅http://grails.org/plugin/spring-security-acl。

对于第二个问题，这里有一个taglib。在Acegi的插件使用：

Hello <g:loggedInUserInfo field="username"/>

（见http://www.grails.org/AcegiSecurity+Plugin+-+Artifacts）和Spring Security的核心插件使用：

Hello <sec:username/>

（见http://burtbeckwith.github.com/grails-spring-security-core/docs/manual/ “安全标签” 一节）

Answer 2

对于ROLE访问，您只需指定特定URL的特定ROLE可以访问该操作即如果您使用的是插件的RequestMap方法如果您使用注释方法，只需在控制器中注释该操作：

@Secured（[“WHATEVER_ROLE”]）

至于只允许谁创造了本书编辑的用户，你可以拉动用户域进行认证与authenticateService.userDomain（），然后您可以将该用户与创建该书籍的用户进行比较（假设您在Book域上有某种类型的createdBy属性。

def loggedInUser = authenticateService.userDomain() 
if (book.createdBy.equals(loggedInUser)) { 
    // allow editing 
} 

这样的事情，无论如何。