带有 Spring Security Core 的 Grails 仅允许所有者在 GSP 中更新

Question

This question 有一些代码要添加到控制器闭包中，这很好，但如果我想使用 grails 默认的脚手架视图，但如果用户是经理，则只显示编辑/更新按钮，或者域对象归用户所有？ Reading the documentation，我试过了：

<sec:access expression="hasRole('ROLE_MANAGER') || (projectInstance.owner == springSecurityService.currentUser)">
   <span class="button"><g:actionSubmit class="save" action="update" value="${message(code: 'default.button.update.label', default: 'Update')}" /></span>
</sec:access>

但访问类似乎不允许 OR：

Error processing GroovyPageView: Error executing tag <g:form>: Error executing tag <sec:access>: Cannot handle (124) '|' 

有人做过类似的事情吗？

Answer 1

我认为那将是愚蠢的。更好的方法是在控制器中这样做：

 def edit = {
    def projectInstance = Project.get(params.id)
    def managerOrAdmin = SpringSecurityUtils.ifAnyGranted('ROLE_ADMIN,ROLE_MANAGER')
    def editable = (projectInstance.owner == springSecurityService.currentUser
                   || managerOrAdmin)
    if (!projectInstance) {
        flash.message = "${message(code: 'default.not.found.message', args: [message(code: 'project.label', default: 'Project'), params.id])}"
        redirect(action: "list")
    }
    else {
        return [projectInstance: projectInstance, editable:editable]
    }
}

然后在gsp中做

<g:if test="${editable}">
  <span class="button"><g:actionSubmit class="save" action="update" value="${message(code: 'default.button.update.label', default: 'Update')}" /></span>
</g:if>

这是有道理的，如果我们遵循“视图应该在 MVC 中执行尽可能少的处理逻辑”的良好编程口号