在 ExtJS 客户端中使用 Spring Security 进行访问控制？

Question

我正在使用 Grails 1.3.7、Grails 的 Spring Security 插件和 ExtJS 3.3.1。我的应用程序中将有大约 20 个角色，并使用静态 URL 规则来保护我的控制器层。我的客户端将全部是 ExtJS，因为我刚刚开始使用 ExtJS，我想与你们那里的人核实一下，找出将访问控制集成到 ExtJS 客户端的正确方法。基本上，如何组织代码来确定为给定用户显示 UI 的哪一部分？此外，某些表单对于某些用户来说可能是只读的。

Answer 1

在我们的应用程序中，我们有一个 JSON 编码的用户对象，其中包含该用户的角色/权利。它们在加载时嵌入到页面标题中，以便全局可用。

然后，有一个 hasEntitlement(userObj,Entitlement) 函数来测试我们嵌入的 userObj 中的特定权利。因此，页面中的所有 ExtJs 操作都会在执行操作之前检查此项，并且所有按钮的“disabled”属性都会在 init 时设置为此函数调用。

当然，在使用 Spring 方法级安全性处理来自 UI 的请求之前，我们也会检查所有服务器端，因此，如果有人攻击了前端的 JS，他们也不会损害后端。