sec:authorize-url标签不生效问题

最新推荐文章于 2024-05-26 14:42:28 发布
最新推荐文章于 2024-05-26 14:42:28 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 日常问题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ab7253957/article/details/75464421
版权

问题描述:

        我这里的项目使用spring cloud+thymeleaf+spring security,使用的thymeleaf和spring security整合的标签,网上的解决方法很多,很简单 sec:authorize="hasRole('ROLE_ADMIN')" 标签可以生效,但是我想控制button的显示与隐藏,

sec:authorize-url 无效,下面说一下解决方法,很简单,只是想不到。
    解决方法:
1.继承DefaultWebInvocationPrivilegeEvaluator并重写方法 
2.将DefaultWebInvocationPrivilegeEvaluator子类在WebSecurityConfigurerAdapter中进行注册
  点击参考博客
   源码
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator;
import org.springframework.stereotype.Component;

@Component
public class CustomWebInvocationPrivilegeEvaluator extends DefaultWebInvocationPrivilegeEvaluator{
    public CustomWebInvocationPrivilegeEvaluator(AbstractSecurityInterceptor securityInterceptor) {
        super(securityInterceptor);
    }

    @Override
    public boolean isAllowed(String uri, Authentication authentication) {
        return super.isAllowed(uri, authentication);
    }

    @Override
    public boolean isAllowed(String contextPath, String uri, String method, Authentication authentication) {
        return super.isAllowed(contextPath, uri, method, authentication);
    }
}

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.security.oauth2.client.EnableOAuth2Sso;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;
import org.springframework.security.web.csrf.CsrfFilter;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.CsrfTokenRepository;
import org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

@Configuration
@EnableOAuth2Sso
@EnableConfigurationProperties(SecuritySettings.class)
@Order(1)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
	@Autowired
	private CustomFilterSecurityInterceptor customFilterSecurityInterceptor;
	@Autowired
	private SecuritySettings settings;
	@Autowired
	private CustomWebInvocationPrivilegeEvaluator webInvocationPrivilegeEvaluator;

	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.addFilterBefore(customFilterSecurityInterceptor, FilterSecurityInterceptor.class)
				.authorizeRequests()
				.anyRequest()
				.authenticated()
				.and()
				.csrf()
				.requireCsrfProtectionMatcher(csrfSecurityRequestMatcher())
				.csrfTokenRepository(csrfTokenRepository())
				.and()
				.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
				.logout()
				.logoutUrl("/logout")
				.permitAll()
				.logoutSuccessUrl(settings.getLogoutsuccssurl())
				.and()
				.exceptionHandling()
				.accessDeniedPage(settings.getDeniedpage());

	}
	
	@Override
	public void configure(WebSecurity web) throws Exception {
		//web.securityInterceptor(customFilterSecurityInterceptor);
		web.privilegeEvaluator(webInvocationPrivilegeEvaluator);//在这里进行注册
		web.ignoring().antMatchers("/assets/**","/styles/**","/images/**");
	}

	private CsrfSecurityRequestMatcher csrfSecurityRequestMatcher() {
		CsrfSecurityRequestMatcher csrfSecurityRequestMatcher = new CsrfSecurityRequestMatcher();
		List<String> list = new ArrayList<String>();
		//此处绝对拦截
		//list.add("/assets/");
		//list.add("/styles/");
		//list.add("/");
		csrfSecurityRequestMatcher.setExecludeUrls(list);
		return csrfSecurityRequestMatcher;
	}

	private Filter csrfHeaderFilter() {
		return new OncePerRequestFilter() {
			@Override
			protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
					FilterChain filterChain) throws ServletException, IOException {
				CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
				if (csrf != null) {
					Cookie cookie = new Cookie("XSRF-TOKEN", csrf.getToken());
					cookie.setPath("/");
					response.addCookie(cookie);
				}
				filterChain.doFilter(request, response);
			}
		};
	}

	private CsrfTokenRepository csrfTokenRepository() {
		HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
		repository.setHeaderName("X-XSRF-TOKEN");
		return repository;
	}
}


 

    
 


                

        

        

    




    

      

        

            

              
                
                  元澈
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
graphql_authorize:ruby-graphql字段的授权助手

				
			

			

				

					02-05
				

			

		

		

			
				
安装将此行添加到您的应用程序的Gemfile中: gem 'graphql_authorize' 然后执行: $ bundle或自己安装为: $ gem install graphql_authorize用法您可以定义一个proc并将其传递给字段块内进行authorize : field :...

			
		

	



                

              
                



	

		

			

				
					
authorize-net-clj:用于 Authorize.Net 支付 API 的 Clojure 库

				
			

			

				

					06-09
				

			

		

		

			
				
授权网络clj ...在resources/authorize-net-config.edn创建一个配置文件,内容如下:   { :api-login "xxxxxxxx" ;; <= 20 chars  :api-key "yyyyyyyyyyyyyyyy" ;; == 16 chars  :email-receipt true ;;

			
		

	



                


  
              

                


	

		

			

				
					
spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效

				
			

			

				

					chengzhui0990的博客
				

				

					01-19
					
					821
					
				

			

		

		

			
				
问题:spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效 
解决办法: 
<!-- 把下面定义的 bean 放到所有 http 标签之前 -->
<bea...

			
		

	





	

		

			

				
					
spring_secrity

				
			

			

				

					StrutsFamily的专栏
				

				

					02-13
					
					1572
					
				

			

		

		

			
				
Spring Security入门篇——标签sec:authorize的使用



Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的

Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究

前提:项目需要引用spring-secu

			
		

	



		

			
		



	

		

			

				
					
(避坑)SpringSecurity关于使用.antMatchers放行接口不生效问题

					
最新发布

				
			

			

				

					Sinder小德的博客
				

				

					05-26
					
					590
					
				

			

		

		

			
				
当你在yml文件中配置了ContextPath的时候,security中的放行接口就不用加上contextPath路径;

			
		

	





	

		

			

				
					
解决Spring Boot Security – Thymeleaf sec:authorize-url 标签不生效问题

				
			

			

				

					良晨的技术站
				

				

					05-15
					
					841
					
				

			

		

		

			
				
有可能是以下问题:

1.未引入依赖

maven:


<!--springsecurity4 要指定3.0以上版本,否则权限标签可能无法工作-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-spri...

			
		

	





	

		

			

				
					
sec:authorize="isAuthenticated()" 和 sec:authorize="isAnonymous()" 有效果的问题

				
			

			

				

					落叶无痕的博客
				

				

					02-15
					
					4320
					
				

			

		

		

			
				
文章目录1. 依赖问题2. springboot 版本过高问题
文章参考 :
解决Spring Boot Security – Thymeleaf sec:authorize-url 标签不生效
不外乎两个原因
1. 依赖问题
        &amp;amp;lt;dependency&amp;amp;gt;
            &amp;amp;lt;groupId&amp;amp;gt;org.springframework.boot&amp;amp;lt;

			
		

	





	

		

			

				
					
Spring Security(二):认证(Authentication)-用户名密码登录

				
			

			

				

					人不风流枉少年
				

				

					05-21
					
					6600
					
				

			

		

		

			
				
1.pom.xml
注意:Spring Boot 2.x 要用thymeleaf-extras-springsecurity5不能用thymeleaf-extras-springsecurity4
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xm...

			
		

	





	

		

			

				
					
machinepack-authorizenet:authorize.net的节点机

				
			

			

				

					04-28
				

			

		

		

			
				
一个用于authorize-net的机器包(已淘汰node-authorize-net) 安装 这使用了最新版本的authorize-net 1.0.6。 有一个古老的应避免使用node-authorize-net的存储库。  $ npm install machinepack-authorizenet 用法 ...

			
		

	





	

		

			

				
					
niles:Niles-与Google日历接口的Discord机器人

				
			

			

				

					04-29
				

			

		

		

			
				
尼尔斯·迪科尔·博特  机器人,用于使用管理事件。 针对电子竞技事件安排(蠕虫,PCW)。...替换URL中的应用程序ID。  设置一个Google服务帐户。 有关设置Google服务帐户的更多信息,请参见此处。  或者,设置OAuth2

			
		

	





	

		

			

				
					
express-uber-auth:express-uber-auth

				
			

			

				

					06-08
				

			

		

		

			
				
 req.uber.authorize(function(err, url) {  if (err) {  console.error(err);  } else {  res.redirect(url);  }  }); });  app.get('/auth/uber/callback', function(req, res) {  req.uber.token(req.query.code,...

			
		

	





	

		

			

				
					
解决Spring Boot Security – Thymeleaf sec:authorize-url 标签不生效(排坑)

				
			

			

				

					HD243608836的博客
				

				

					08-08
					
					1680
					
				

			

		

		

			
				
转载自:http://auan.cn/java/1654.html

总结:我那个原因是引用 thymeleaf-extras-springsecurity4 时有指定版本。后来指定了3.0.2.RELEASE就可以了。应该是版本兼容问题。
另外最新版的 springboot 2.1.x 也会有问题。建议用 2.0.x



用 SpringBoot + SpringSecurity + Th...

			
		

	





	

		

			

				
					
Spring Boot+Security+Thymeleaf sec:authorize-url 标签不生效

				
			

			

				

					浅汐
				

				

					09-12
					
					454
					
				

			

		

		

			
				
用 SpringBoot + SpringSecurity + Thymeleaf 搭建了一个应用,发现 Thymeleaf sec:authorize-url 以及 sec:authorize="hasRole('ROLE_ADMIN')" 标签不生效。
后来发现是 Maven 引入 thymeleaf-extras-springsecurity4 时有指定版本号,直接使用是SpringBo...

			
		

	





	

		

			

				
					
java url权限控制_Springsecurity之jsp中url方式控制权限

				
			

			

				

					weixin_29817791的博客
				

				

					02-16
					
					193
					
				

			

		

		

			
				
注:Springsecurity版本是4.2.4.RELEASE。在jsp中使用has('role')的方式可以看下我的这篇博客。1、引入maven依赖List-1.1org.springframework.securityspring-security-taglibs4.2.4.RELEASE2、xml配置List-2.1class="org.springframework.security.w...

			
		

	





	

		

			

				
					
关于spring security3页面隐藏的问题

				
			

			

				

					terryjim的专栏
				

				

					04-06
					
					764
					
				

			

		

		

			
				
一直很懒,未整理文档,回头一看

			
		

	





	

		

			

				
					
springSecurity 中为什么 sec:authorize-url 不起作用

				
			

			

				

					beixianchen的专栏
				

				

					11-17
					
					3165
					
				

			

		

		

			
				
最近又看起了 springSecurity ,想起了之前遇到的一个关于页面标签的诡异问题sec:authorize="hasRole('ADMIN')" 可以正确判断,从而正确控制相应的内容显示不显示,但是到了用 sec:authorize-url="/test" 的时候,就不受控制了。对应的链接无论当前用户有有权限,相应的内容都会显示在页面上。经过了某度上你抄我我抄你,千篇一律的错误答案之后...

			
		

	





	

		

			

				
					
<security:authorize url=''>标签不能控制控制是否显示的解决办法

				
			

			

				

					java web开发
				

				

					01-03
					
					2126
					
				

			

		

		

			
				
<security:authorize url=''>标签不能控制控制是否显示的解决办法

			
		

	





	

		

			

				
					
Spring Security详解(二)认证之核心配置详解

					
热门推荐

				
			

			

				

					Jagger的博客
				

				

					06-22
					
					1万+
					
				

			

		

		

			
				
文章目录2.核心配置详解2.1 测试用例2.2  @EnableWebSecurityWebSecurityConfigurationSpringWebMvcImportSelectorEnableGlobalAuthentication2.3 @EnableGlobalMethodSecurityGlobalMethodSecuritySelectorGlobalMethodSecurityConfiguration2.4  SecurityBuilderWebSecurityHttpSecurityAu

			
		

	





	

		

			

				
					
spring security3.x学习(20)_初探authorize标签和第四个例子

				
			

			

				

					杜雷的技术博客
				

				

					09-21
					
					1819
					
				

			

		

		

			
				
第四个例子也就是spring security3那本书中的第五章的例子。
csdn下载:http://download.csdn.net/detail/dulei294948/6295933(包含完整的jar包)


突然想说个闲事啊。做java或者什么都行,但是必须要学一下uml设计。因为又一个很好的uml设计才能表达更多的想法。。
分享一个同事推荐给我的书:http://downlo

			
		

	





	

		

			

				
					
sec:authorize不起作用

				
			

			

				

					06-03
				

			

		

		

			
				
您好,我理解您的问题是关于sec:authorize无法生效问题sec:authorize是Spring Security提供的一个标签,用于在前端页面控制是否显示某些内容。如果无法生效,可能是以下原因:  1. 配置问题:请确保您已经正确...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值