Spring Security入门篇——标签sec:authorize的使用

转载 2016年08月29日 16:44:10
Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的

Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究

前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:<%@ taglib prefix=”sec” uri=”http://www.springframework.org/security/tags” %>

本文配置

一、authorize

对应的类: org.springframework.security.taglibs.authz.AuthorizeTag

attribute: access url method  ifNotGranted  ifAllGranted  ifAnyGranted

使用方式:见SimpleDemo的index.jsp

<p>

<sec:authorize ifAllGranted="ROLE_ADMIN">#这里可以用逗号分隔,加入多个角色

你拥有管理员权限,你可以查看 该页面<a href="http://blog.163.com/sir_876/blog/admin.jsp"> 管理员进入</a> </sec:authorize> </p> <p> <sec:authorize url='/profile.jsp'>你登陆成功了可以看到 <a href="http://blog.163.com/sir_876/blog/profile.jsp"> 这个页面</a></sec:authorize>

</p>

页面标签的使用与权限配置相对应

<intercept-url            pattern="/admin.jsp"            access="hasRole('ROLE_ADMIN')" />        <intercept-url            pattern="/profile.jsp"            access="isAuthenticated()" />        <intercept-url            pattern="/**"            access="permitAll" />

对比可以看到只有ROLE_ADMIN角色的用户才能访问admin.jsp,通过认证的用户都可以访问profile.jsp

从标签源码可以知道,authorize标签判断顺序是: access->url->ifNotGranted->ifAllGranted->ifAnyGranted 但他们的关系是“与”: 即只要其中任何一个属性不满足则该标签中间的内容将不会显示给用户,举个例子:

<sec:authorize  ifAllGranted=”ROLE_ADMIN,ROLE_MEMBER” ifNotGranted=”ROLE_SUPER”>满足才会显示给用户 </sec:authorize>

标签中间的内容只有在当前用户拥有ADMIN,MEMBER角色,但不拥有SUPER权限时才会显示

access属性是基于角色判断,url属性是基于访问路径判断,与security.xml配置对应

对于ifAllGranted ,ifNotGranted,ifAnyGranted属性的理解可以与集合api类比

Collection grantedAuths  :当前用户拥有的权限
Collection requiredAuths : 当前要求的权限,即ifAllGranted ,ifNotGranted,ifAnyGranted 属性的值

满足ifAllGranted: 只需要grantedAuths.containsAll(requiredAuths);返回true即可
满足ifAnyGranted: 只需要grantedAuths.retainAll(requiredAuths);有内容即可(两集合有交集)
满足ifNotGranted:与Any相反,如果没有交集即可

二、authentication

对应的类: org.springframework.security.taglibs.authz.AuthenticationTag

attribute: property(required) var  htmlEscape  scope

使用方式:

<sec:authentication property=’name’ />
<sec:authentication property=’principal.username’ />
<sec:authentication property=’principal.enabled’ />
<sec:authentication property=’principal.accountNonLocked’ />

主要用来显示authentication属性,

var scope: 将property的值以var设置到scope域中

htmlEscape: 将特殊字符转义 > –> “&gt”

【转】Spring security3 sec:authorize url 无效的问题

原贴地址:http://my.oschina.net/u/2259804/blog/476044 转载注:在需要用SS控制界面元素的显示隐藏,而又无法为sec:authorize标签提供一个确定的...

Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)

【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址...

页面获取Spring Security登录用户

1.在session中取得spring security的登录用户名如下: ${session.SPRING_SECURITY_CONTEXT.authentication.principal.us...

security authorize 标签

authorize用来判断当前用户的权限,然后根据指定的条件判断是否显示内部的内容。jsp页面首先要引入security的标签库代码: 代码: //ifAllGranted,只有当前用户同时拥有ROL...
  • fzhlee
  • fzhlee
  • 2010年05月28日 09:46
  • 8491

spring security 概述& 配置文件详解

通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.ser...

一款开源的安全证书登录组件--SecUser

  设计,开发:肖波页面:顾晓燕美工:孙莹莹2007-8简介安全证书登录组件SecUser,后简称SecUser是www.kaitoo.com开发的一款基于.Net的开放源码的安全证书登录组件,该组件...
  • mengyao
  • mengyao
  • 2007年09月11日 19:16
  • 1536

spring security3.x学习(20)_初探authorize标签和第四个例子

第四个例子也就是spring security3那本书中的第五章的例子。 csdn下载:http://download.csdn.net/detail/dulei294948/6295933(包...

spring security 在jsp中的标签库

spring-security 在jsp中的标签库 1.在jsp中声明 2.标签 目前共有三个标签            2.1、authorize标签 这个标签用...

spring security的权限页面标签可以根据 ifAnyGranted="ROLE_SYSTEM" 这个不同的权限觉得在<sec:authorize的作用不作用,就相当于c:if标签的作用

spring security的tag标签

应用标签库:security' uri='http://www.springframework.org/security/tags' %>  security:authorize>是一个流程...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Spring Security入门篇——标签sec:authorize的使用
举报原因:
原因补充:

(最多只允许输入30个字)