如何在Spring Security 4中动态修改登录用户的角色？

在Spring Security 4中动态修改登录用户的角色，可以通过以下步骤实现：

创建一个自定义的UserDetailsService实现类，该类继承自org.springframework.security.core.userdetails.UserDetailsService接口，并实现其loadUserByUsername方法。在该方法中，根据用户名查询用户信息，并返回一个UserDetails对象。
在loadUserByUsername方法中，可以根据需要从数据库或其他数据源中获取用户的角色信息，并将其封装到UserDetails对象中。可以使用Spring Security提供的User类或自定义的实现类。
在Spring Security的配置类中，通过重写configure方法，配置AuthenticationManagerBuilder，将自定义的UserDetailsService实现类注册为身份验证的提供者。
创建一个自定义的AuthenticationSuccessHandler实现类，该类继承自org.springframework.security.web.authentication.AuthenticationSuccessHandler接口，并实现其onAuthenticationSuccess方法。在该方法中，可以根据登录用户的角色信息，动态修改用户的权限。
在onAuthenticationSuccess方法中，可以通过SecurityContextHolder获取当前登录用户的Authentication对象，并通过setAuthenticated方法动态修改用户的角色信息。

以下是一个示例代码：

// 自定义UserDetailsService实现类
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        
        // 根据需要从数据库中获取用户的角色信息
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities);
    }
}

// Spring Security配置类
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .successHandler(new CustomAuthenticationSuccessHandler())
                .and()
            .logout()
                .logoutSuccessUrl("/login")
                .and()
            .csrf().disable();
    }
}

// 自定义AuthenticationSuccessHandler实现类
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        // 获取当前登录用户的Authentication对象
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        
        // 动态修改用户的角色信息
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        Authentication newAuth = new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(), authorities);
        SecurityContextHolder.getContext().setAuthentication(newAuth);
        
        // 重定向到首页或其他页面
        response.sendRedirect("/home");
    }
}

这样，在Spring Security 4中就可以动态修改登录用户的角色了。请注意，上述代码仅为示例，实际应用中需要根据具体业务需求进行适当的修改和调整。