如题,如何用springsecurity实现更加细粒度的权限管理。SpringSecurity是基于RBAC的框架,权限的管是理基于角色和权限,拥有user角色的用户可以访问对应user的资源,拥有admin权限的用户可以访问admin资源。那么该如何实现基于用户个人的权限管理,譬如,user:mark只能访问user:mark的资源,不能访问其他用户的资源。如果给每个注册的用户username都分配角色user:username,这样的话,就感觉有点不太优雅了,如果有1万个用户,就创建1万个role总感觉不太妥。
我目前的项目用到rest风格的api,用filter实现对用户个人权限的管理,对于url:/user/info/{id},当请求为"put"时,判断该请求的token对应的id是否一致来决定是否放行。
想请问大家在实际项目中是如何实现类似需求的。