Spring学习笔记15

最新推荐文章于 2024-08-08 14:13:16 发布
最新推荐文章于 2024-08-08 14:13:16 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Spring 文章标签: spring authentication jsp acegi getter filter

视图层安全

       大多数Web应用中总有一些页面元素我们只希望向某些特定用户展示,而Spring提供的filter只能限定哪些用户访问页面,即它只能提供页面层次的粗粒度过滤功能。如果要实现细粒度的访问控制,即控制哪些用户可以访问页面上的特定元素,你需要使用Spring提供的JSP标签库。这个标签库只有3个标签:<authz:acl><authz:authentication><authz:authorize>。若要在JSP页面中使用这些标签,必须使用JSP<%@taglib%>命令来导入标签库

<%@ taglib prefix=”authz” uri="http://acegisecurity.org/authz" %>

下面让我们来看看如何使用这些标签库,先从<authz:authorize>开始。

1.      有条件地提供内容

< authz:authorize >Spring安全机制中最常用的JSP页面标签。它能高效地执行一个if语句,判断当前用户是否有适当权限来查看页面特定内容。如果有将会提供标签主体。否则,标签内容将会被忽略。

举例来说,我们要在RoadRantz应用上添加一条欢迎信息和一个注销的连接。对于未验证用户这没有意义。因此,我们想要在这之前确定用户是否有权限。我们可以使用<authz:authorize>ifAllGranted属性向视图添加内容,例如:

<authz:authorize ifAllGranted=”ROLE_MOTORIST, ROLE_VIP”>

Welcome Motorist!<br/>

<a href=”j_acegi_logout”>Logoff</a>

</authz:authorize>

因为使用了ifAllGranted,所以只有同时拥有ROLE_MOTORISEROLE_VIP两个权限的用户才能查看包含在这个标签内的内容。不过这样似乎有点苛刻,毕竟所有的用户都拥有ROLE_MOTORIST权限,而其中的一小部分才有ROLE_VIP权限。因此,我们可以使用ifAnyGranted

<authz:authorize ifAnyGranted=”ROLE_MOTORIST, ROLE_VIP”>

Welcome Motorist! <br/>

<a href=”j_acegi_logout”>Logoff</a>

</authz:authorize>

这个例子中若要显示欢迎信息或注销连接,用户需要具有ROLE_MOTORISTROLE_VIP权限。需要指出的是,如果只有一个单一权限,那么使用ifAllGrantedifAnyGranted则都一样。

       最后一个属性是ifNotGranted。它表明如果用户没有权限列表中的权限时显示标签内容。比如,我们希望使用此属性来阻止任何匿名用户访问内容:

<authz:authorize ifNotGranted=”ROLE_ANONYMOUS”>

       <p>This is super-secret content that anonymous users aren’t allowed to see.</p>

</authz:authorize>

在实际场景中,这三个属性通常都是一起使用。例如:

<authz:authorize ifAllGranted=”ROLE_MOTORIST”

       ifAnyGranted=”ROLE_VIP, ROLE_FAST_LANE”

       ifNotGranted=”ROLE_ADMIN”>

       <p>Only special users see this content</p>

</authz:authorize>

上面的代码表明只有用户拥有ROLE_MOTORIST权限,并且拥有ROLE_VIPROLE_FAST_LANE权限,而且没有ROLE_ADMIN权限时标签内容才会显示给他。

       控制用户所见只是Spring JSP标签库能做的一个方面。下面让我们看看Spring如何使用标签来显示一个合法用户信息。

2.      显示用户验证信息

现在让我们来把刚才的欢迎信息加上用户姓名。用户的登录信息总是被封装在一个对象中。该对象可以通过Authentication.getPrincipal方法获得。我们需要做的就是寻找一个能够在JSP中访问principal对象的方法——<authz:authentication>标签。

<authz:authentication>标签能够提供从Authentication.getPrincipal返回并要输出到JSP的对象属性。Authentication.getPrincipal方法通常返回UserDetails接口的一个实现。该接口有个getUsername方法。因此,若要显示UserDetails对象的username属性,我们需要添加下面的标签代码:

<authz:authorize ifAnyGranted=”ROLE_MOTORIST, ROLE_VIP”>

       Welcome <authz:authentication operation=”username”/>

</authz:authorize>

operation属性容易引起误解,似乎是调用一个方法。其实,它只是调用了一个getter方法来获取指定名字的属性。默认情况下,operation值的第一个字母都要大写,这样在其前面加上get就可以产生被调用的方法名。本例中,getUsername方法就会被调用并且输出返回值。

 

amethystic
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring学习笔记.zip
03-18
根据提供的压缩包文件名,我们可以推测这是一个逐步学习Spring的系列笔记。从"Spring_day1"开始,可能涵盖了Spring的基础概念、环境搭建和基本配置。"Spring_day2"可能涉及了依赖注入和AOP的深入讲解。"Spring_day3...
使用Acegi的标签库<authz:authorize>
12-25 124
11.4.6  使用Acegi的标签库 称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:&lt;authz:authorize&gt;标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。&lt;authz:authorize&gt;标签能够根据当前用户是否拥有恰当权限来决定显示或隐藏Web页...
spring_secrity
StrutsFamily的专栏
02-13 1575
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
使用Acegi的标签库<authz:authorize
caishancai的博客
07-06 1260
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了 11.4.6 使用Acegi的标签库 称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户
Acegi的标签库authzauthorize
hjm4702192的专栏
12-11 725
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了 11.4.6  使用Acegi的标签库 称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户是否拥有恰当权限来决定
Spring Cloud Alibaba学习笔记
03-18
Spring Cloud Alibaba学习笔记 内容简介: 1、微服务介绍 2、微服务环境搭建 3、Nacos Discovery--服务治理 4、Gateway--服务网关 5、Sleuth--链路追踪 6、Rocketmq--消息驱动 7、SMS--短信服务 8、Sentinel--服务...
javaSpring学习笔记
03-12
“Java Spring学习笔记”是一份宝贵的资源,专门为想要学习和掌握Java Spring框架的开发者而设计。这份学习笔记提供了详细而系统的教程和实践指南,帮助初学者快速入门,并带领已经有一定经验的开发者深入理解和应用...
Spring学习笔记 自我总结
11-02
spring学习笔记
spring学习笔记1
03-16
spring学习笔记1
基于FormsAuthentication的用户、角色身份认证
weixin_30522183的博客
11-15 618
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。 Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带...
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
Acegi授权策略和保护web资源
zhanghongcai的专栏
09-15 154
 在通过各种认证途径获得Authentication认证对象后,事情的发展并没有结束。用户认证只是确定当前用户是否存在,而且她的身份也被辨认出来。至于已经认证的用户是否有权限操控目标资源(web资源,业务方法,领域对象),那么就还需要经过用户授权的考验!     下面就总体上给出acegi是如何实施用户授权工作的,以及围绕web资源的授权操作展开!     当acegi完成用户的认证操作时,认...
Spring Security介绍(5)
风之影
02-05 130
    7.5  视图层安全 在绝大多数应用程序中,都有一些只应该显示给某一类用户的元素。正如读者已经看到的那样,Spring Security的过滤器可以阻止某些页面呈现给没有被授予特定权限集的用户。 但是,过滤器提供的是一种比较粗鲁的安全措施,它们在请求级上限制访问。在某些情况下,你可能希望更优雅地控制当前用户允许被查看的内容。可能一个应用程序的所有用户都被允许查看某一页面,但是只有被授予特...
免费【2024】springboot 二手图书交易系统的设计与实现
weixin_53646065的博客
08-05 912
随着世界经济信息化、全球化的到来和互联网的飞速发展,推动了各行业的改革。若想达到安全,快捷的目的,就需要拥有信息化的组织和管理模式,建立一套合理、动态的、交互友好的、高效的二手图书交易系统。当前的信息管理存在工作效率低,工作繁杂等问题,基于信息化的二手图书交易管理目前还没有完善的系统机制。
使用Spring与JDK动态代理实现事务管理
最新发布
面团到油条的成长日记
08-08 731
使用Spring与JDK动态代理实现事务管理,带你更加了解代理模式的应用
从根儿上学习spring 九 之run方法启动第四段(3)
baidu_19338587的博客
08-04 947
一般情况下调用doGetBean方法获取的bean实例都是为了真实使用的,像我们上面举得A,B对象的例子获取的A,B对象当然都是为了真实使用的,但有种场景就只是为了做类型检查,比如有时候为了判断FactoryBean里的对象的类型就要先获取FactoryBean再通过getObject方法获取里面的真实对象来判断其类型,这时获取的FactoryBean实例可能就只是为了类型检查并不是为了真实使用。二:当bean是多例时,会有不同的创建bean的逻辑,下面我们按照代码顺序先分析单例的情况。
springcloud和springboot版本对照表
qq_43071699的博客
08-04 483
Spring Cloud 的版本命名采用了伦敦地铁站名的方式,例如 Greenwich、Hoxton、2020.0.0 等,每个版本都有一个对应的 Spring Boot 和其他依赖的兼容版本范围。Spring Cloud 的版本通常与 Spring Boot 和其他依赖库的版本保持一致,以确保兼容性和稳定性。在实际项目中,通常推荐使用最新稳定版本的 Spring Cloud 和 Spring Boot,以获得最新的功能和最佳的安全性和性能。
spring 学习笔记
04-10
以下是关于Spring学习的一些笔记: 1. IoC(控制反转):Spring通过IoC容器管理对象的创建和依赖关系的注入。通过配置文件或注解,将对象的创建和依赖关系的维护交给Spring容器来管理,降低了组件之间的耦合度。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值