关闭

Spring Security入门篇——标签sec:authorize的使用

5110人阅读 评论(0) 收藏 举报
分类:
Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的

Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究

前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:<%@ taglib prefix=”sec” uri=”http://www.springframework.org/security/tags” %>

本文配置

一、authorize

对应的类: org.springframework.security.taglibs.authz.AuthorizeTag

attribute: access url method  ifNotGranted  ifAllGranted  ifAnyGranted

使用方式:见SimpleDemo的index.jsp

<p>

<sec:authorize ifAllGranted="ROLE_ADMIN">#这里可以用逗号分隔,加入多个角色

你拥有管理员权限,你可以查看 该页面<a href="http://blog.163.com/sir_876/blog/admin.jsp"> 管理员进入</a> </sec:authorize> </p> <p> <sec:authorize url='/profile.jsp'>你登陆成功了可以看到 <a href="http://blog.163.com/sir_876/blog/profile.jsp"> 这个页面</a></sec:authorize>

</p>

页面标签的使用与权限配置相对应

<intercept-url            pattern="/admin.jsp"            access="hasRole('ROLE_ADMIN')" />        <intercept-url            pattern="/profile.jsp"            access="isAuthenticated()" />        <intercept-url            pattern="/**"            access="permitAll" />

对比可以看到只有ROLE_ADMIN角色的用户才能访问admin.jsp,通过认证的用户都可以访问profile.jsp

从标签源码可以知道,authorize标签判断顺序是: access->url->ifNotGranted->ifAllGranted->ifAnyGranted 但他们的关系是“与”: 即只要其中任何一个属性不满足则该标签中间的内容将不会显示给用户,举个例子:

<sec:authorize  ifAllGranted=”ROLE_ADMIN,ROLE_MEMBER” ifNotGranted=”ROLE_SUPER”>满足才会显示给用户 </sec:authorize>

标签中间的内容只有在当前用户拥有ADMIN,MEMBER角色,但不拥有SUPER权限时才会显示

access属性是基于角色判断,url属性是基于访问路径判断,与security.xml配置对应

对于ifAllGranted ,ifNotGranted,ifAnyGranted属性的理解可以与集合api类比

Collection grantedAuths  :当前用户拥有的权限
Collection requiredAuths : 当前要求的权限,即ifAllGranted ,ifNotGranted,ifAnyGranted 属性的值

满足ifAllGranted: 只需要grantedAuths.containsAll(requiredAuths);返回true即可
满足ifAnyGranted: 只需要grantedAuths.retainAll(requiredAuths);有内容即可(两集合有交集)
满足ifNotGranted:与Any相反,如果没有交集即可

二、authentication

对应的类: org.springframework.security.taglibs.authz.AuthenticationTag

attribute: property(required) var  htmlEscape  scope

使用方式:

<sec:authentication property=’name’ />
<sec:authentication property=’principal.username’ />
<sec:authentication property=’principal.enabled’ />
<sec:authentication property=’principal.accountNonLocked’ />

主要用来显示authentication属性,

var scope: 将property的值以var设置到scope域中

htmlEscape: 将特殊字符转义 > –> “&gt”
1
1
查看评论

【转】Spring security3 sec:authorize url 无效的问题

原贴地址:http://my.oschina.net/u/2259804/blog/476044 转载注:在需要用SS控制界面元素的显示隐藏,而又无法为sec:authorize标签提供一个确定的Role列表,则可以使用下面的方法解决问题。 如果项目里SS的权限控制已经完备,那么只需要做第1...
  • coderAndy
  • coderAndy
  • 2015-09-11 11:34
  • 2144

springmvc简单实现权限控制

用过了Spring Security,一般都不会采用这种简单的自定义方式.自定义当然灵活自由,越要完善,也就意味做的工作越多.使用框架,别人考虑得相对周到,比如spring security的防止攻击就有session fixation, clickjacking, cross site reque...
  • xiejx618
  • xiejx618
  • 2015-02-11 11:50
  • 28280

第三方登录与分享

首先在AndroidManifes中添加权限 ?xml version="1.0" encoding="utf-8"?> manifest xmlns:android="http://schemas.android.com/apk/res/a...
  • m0_37756225
  • m0_37756225
  • 2017-03-13 20:34
  • 354

spring security3.x学习(20)_初探authorize标签和第四个例子

第四个例子也就是spring security3那本书中的第五章的例子。 csdn下载:http://download.csdn.net/detail/dulei294948/6295933(包含完整的jar包) 突然想说个闲事啊。做java或者什么都行,但是必须要学一下um...
  • u012454773
  • u012454773
  • 2014-12-20 20:09
  • 6098

Acegi的标签库authzauthorize

由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了 11.4.6  使用Acegi的标签库 称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有...
  • hjm4702192
  • hjm4702192
  • 2012-12-11 16:19
  • 433

Spring Security使用授权标签和注解

Spring Security的声明式安全授权有两种方式,一种是以url模式匹配的方式,另一种是方法上使用注解声明权限,这里重点说第二种。 Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlob...
  • luenxin
  • luenxin
  • 2015-12-03 13:11
  • 8686

c.tld中<c:if>和<c:choose>的使用

${sessionScope.name}  var="flag" scope="request"> 姓名成绩不能为空 =90}"> 恭喜${sessionScope.name}同学,你获得了优秀(...
  • baidu_34832026
  • baidu_34832026
  • 2017-02-18 11:00
  • 468

Spring Security 4 安全视图片段 使用标签(Spring Security 标签)

原文地址: http://websystique.com/spring-security/spring-security-4-secure-view-layer-using-taglibs/ 【剩余文章,将尽快翻译完毕,敬请期待。 翻译by 明明如月 QQ 605283073】 本教程向你...
  • w605283073
  • w605283073
  • 2016-05-05 14:31
  • 6961

spring security 在jsp中的标签库

spring-security 在jsp中的标签库 1.在jsp中声明 2.标签 目前共有三个标签            2.1、authorize标签 这个标签用来决定它的内容是否会被执行. ...
  • running_snail_
  • running_snail_
  • 2011-12-31 10:33
  • 15122

spring security的tag标签

应用标签库:security' uri='http://www.springframework.org/security/tags' %>  security:authorize>是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体...
  • bao19901210
  • bao19901210
  • 2013-12-26 17:22
  • 6688
    个人资料
    • 访问:68434次
    • 积分:980
    • 等级:
    • 排名:千里之外
    • 原创:24篇
    • 转载:72篇
    • 译文:0篇
    • 评论:3条
    关于博主
    多年软件开发 擅长powerbuider 和java
    业务领域: 医疗 金融(信贷消费 财务)
    主要参与项目 :1. 梅州公积金项目, 2. 平安普惠押品项目 3 中信银行征信云架构项目
    qq 群:369078552
    email:hustxiayuhong@126.com