我正在为sso目的配置KeyClock。现在我想用abac支持实现Spring Security 。例如,我想保护RESTAPI端点,该端点负责邀请用户参加面试。这样的端点接受candidateuserid和interviewid参数。
为了授予或拒绝对调用方的访问,我需要检查经过身份验证的用户是否属于与访谈对象相同的组织,并具有相应的角色。问题是,我没有在用户和资源属性中准备此类信息,必须通过spring数据方法对数据库进行额外调用来获取这些信息。因此,目前我正试图了解如何以及在何处实现这种验证逻辑……是否可以在KeyClock中创建相应的abac策略,或者直接在spring security中创建abac策略,或者直接将这种验证逻辑放在我的api/服务代码中。请告知。
暂无答案!
目前还没有任何答案,快来回答吧!