Spring Security + JSFページコンポーネントのROLE-drivenレンダリング（リンクなど）ベストプラクティス

Question

JSF + Spring Securityを使用します。

ソリューション1 - UI指向：認証された人のみROLE_ADMIN権限を持っている場合、ユーザーとの
JSFページが表示パネル。

<p:panel rendered="#{facesContext.externalContext.isUserInRole('ROLE_ADMIN')}"> 
... 

ソリューション2から指向バックエンド（適切なDAOメソッドを注釈）：

@Transactional 
@PreAuthorize("hasRole('ROLE_ADMIN')") 
public List<User> getUsers() { 
    return sessionFactory.getCurrentSession().createCriteria(User.class) 
      .list(); 
} 

再開：
JSFのように見えるrendered属性は、柔軟な解決策ではなく、DAOは、方法がない注釈付き403にリダイレクトされているため、ユーザーフレンドリーです。

パネルやリンクを表示しない、特定の権限に対応していない優雅な解決策とは何ですか？

Answer 1

エンドユーザが表示/使用を許可されていないエンドユーザパネルまたはあらゆる種類の機能を表示する必要はありません。それは一般的な混乱と挫折を招くだけです。したがって、rendered属性のロールチェックが行なわれます。

発現は、この形で、より簡略化することができる：HttpServletRequest#isUserInRole()にExternalContext#isUserInRole()委譲

<p:panel rendered="#{request.isUserInRole('ROLE_ADMIN')}"> 

が、HttpServletRequestは#{request}としてELの範囲内に存在するにもそれ自体です。

Answer 2

スプリングセキュリティは、どのように構成されているかに応じて、ユーザーが特定のリソースにアクセスする権限を与えられていない場合に403をリダイレクトします。

解決策1は、達成しようとしていることを行う適切な方法ですが、本質的にFacesContextとビューの間に依存関係を作成しています。より良い解決策は、この認可ロジックをマネージドBeanプロパティ内にカプセル化することです。これを行う利点は、ビューが認証実装に依存しなくなり、マネージドBeanがその依存関係を適切に含むようになりました。