我正在为sso目的配置KeyClock。现在我想用abac支持实现Spring Security 。例如，我想保护RESTAPI端点，该端点负责邀请用户参加面试。这样的端点接受candidateuserid和interviewid参数。
为了授予或拒绝对调用方的访问，我需要检查经过身份验证的用户是否属于与访谈对象相同的组织，并具有相应的角色。问题是，我没有在用户和资源属性中准备此类信息，必须通过spring数据方法对数据库进行额外调用来获取这些信息。因此，目前我正试图了解如何以及在何处实现这种验证逻辑……是否可以在KeyClock中创建相应的abac策略，或者直接在spring security中创建abac策略，或者直接将这种验证逻辑放在我的api/服务代码中。请告知。