spring security3.x学习(20)_初探authorize标签和第四个例子

最新推荐文章于 2021-07-12 20:49:24 发布

lrwin_

最新推荐文章于 2021-07-12 20:49:24 发布

阅读量1.8k

点赞数

分类专栏： spring security 文章标签： java spring spring security 安全权限框架

本文链接：https://blog.csdn.net/dsundsun/article/details/11880743

版权

spring security 专栏收录该内容

28 篇文章 2 订阅

订阅专栏

第四个例子也就是spring security3那本书中的第五章的例子。

csdn下载：http://download.csdn.net/detail/dulei294948/6295933（包含完整的jar包）

突然想说个闲事啊。做java或者什么都行，但是必须要学一下uml设计。因为又一个很好的uml设计才能表达更多的想法。。

分享一个同事推荐给我的书：http://download.csdn.net/detail/dulei294948/6278559，没事的时候可以看看。。

继续学习spring security....

我们需要考虑一下如何控制角色之间不一样权限时，看到内容的不同。那么就要在页面进行显示控制，spring security帮我们提供了一些很好用的标签：

举例：

配置文件：

<intercept-url pattern="/account/*.do" 
access="hasRole('ROLE_USER') and fullyAuthenticated"/>

jsp页面中：

引入标签

<%@ taglib prefix = "sec" uri = "http://www.springframework.org/security/tags"%>

使用

<sec:authorize url="/account/home.do">
  <c:url value="/account/home.do" var="accountUrl"/>
  <li><a href="${accountUrl}">My Account</a></li>
</sec:authorize>

【注意的是，HTTP方法应该与<intercept-url>安全声明中的一致，否则它们将不会按照你预期的进行匹配。另外，注意URL应该是对于web应用上下文根的相对路径（如同URL访问规则一样）。】

使用标签以后，就可以轻松的过滤这些访问的url和配置文件中的权限配置是否一致，一致的话就才可以显示。

当然这个authorize标签还支持spEL表达式的配置：

<sec:authorize access="hasRole('ROLE_USER') and fullyAuthenticated">
  <c:url value="/account/home.do" var="accountUrl"/>
  <li><a href="${accountUrl}">My Account</a> (with 'access' attr)</li>
</sec:authorize>

这让我觉得用起来更方便的多。（看来Spring security为我们考虑的很全面了。）

书中这样描述以上标签：上边的标签是使用Spring security 3.x的功能，我们也可以使用spring security2的功能。。。然后我们去看看authorize还有什么用法呢？

<sec:authorize ifNotGranted="ROLE_USER">
  <c:url value="/login.do" var="loginUrl"/>
  <li><a href="${loginUrl}">Log In</a></li>
</sec:authorize>

“如果你现在以匿名用户试图访问站点，将会看到一个指向登录form 的链接。”

<sec:authorize ifAnyGranted="ROLE_USER">
  <c:url value="/logout" var="logoutUrl"/>
  <li><a href="${logoutUrl}">Log Out</a></li>
</sec:authorize>

“注意的是ifAnyGranted 属性允许是以逗号分隔的角色集合来确定适当的匹配结果，用户只需要拥有角色中的任意一个标签中的内容就会渲染。”

<sec:authorize ifAllGranted="ROLE_USER,ROLE_CUSTOMER">
  <c:url value="/account/orders.do" var="ordersUrl"/>
  <li><a href="${ordersUrl}">My Orders</a></li>
</sec:authorize>

“我们能够看到authorize标签的多种语法，以在不同的环境下使用。注意的是我们在前面讲到的三个属性可以组合使用。如ifNotGranted 和ifAnyGranted 属性能够联合使用以提供稍微复杂的Boolean等式。”

看到了spring security2和3这几种用法，我发现，其实使用spring security3可以更好的完成操作(当然没有说哪个好用或不好用)，我们可以通过spring security3的authorize让配置尽量使用spEL表达式的方式。(我个人觉得用起来会很方便。)

大概先这样，我们先了解一下，起码spring security给我们现实层的实现提供了很多便利啊。回来再继续吧。这两天确实看书看的有点累。

不过我还是希望能在最近这些日子赶紧把spring security看完。呵呵。差的知识太多了。赶紧补补哈。

lrwin_

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
spring security3.x学习(20)_初探authorize标签和第四个例子

第四个例子也就是spring security3那本书中的第五章的例子。csdn下载：http://download.csdn.net/detail/dulei294948/6295933（包含完整的jar包）突然想说个闲事啊。做java或者什么都行，但是必须要学一下uml设计。因为又一个很好的uml设计才能表达更多的想法。。分享一个同事推荐给我的书：http://downlo
复制链接

扫一扫