У меня есть трехуровневое приложение, которое требует авторизации безопасности для различных объектов домена.
Независимо от того, использую ли я реализацию Spring ACL или запускаю свою собственную, мне кажется, что безопасность на основе ACL может использоваться только для авторизации (сервисных) методов и не может использоваться для авторизации вызовов URL-адресов или веб-служб. Я думаю, что это потому, что как вызов веб-службы может проверить ACL до того, как он гидратировал полезную нагрузку XML? Кроме того, все примеры безопасности веб-доступа в документации Spring защищают URL-адреса на основе роли.
Типично ли использовать роли Spring для защиты веб-презентаций и вызовов веб-служб, в то же время используя ACL для защиты бизнес-методов? Это перебор?