Acegi的标签库authzauthorize

最新推荐文章于 2016-08-19 14:56:42 发布
最新推荐文章于 2016-08-19 14:56:42 发布
阅读量724 收藏
点赞数
分类专栏: Tomcat_apache_nginx_memcached
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjm4702192/article/details/8282998
版权
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了
11.4.6  使用Acegi的标签库
称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:<authz:authorize>标签。
虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。<authz:authorize>标签能够根据当前用户是否拥有恰当权限来决定显示或隐藏Web页面的内容。
<authz:authorize>是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数:
  ifAllGranted――是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限才能渲染标签体;
  ifAnyGranted――是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个才能渲染标签体;
  ifNotGranted――是一个由逗号分隔的权限列表,用户必须不拥有其中的任何一个才能渲染标签体。
你可以轻松地想像在JSP中如何使用<authz:authorize>标签根据用户的权限来限制他们的行为。例如,Spring培训应用有一个向用户显示课程有关信息的课程明细页面。对管理员来说,如果能够从课程明细页面直接跳转到课程编辑页面从而可以更新课程信息是很方便的。但你不希望这个链接对除了管理员之外的其他用户可见。
使用<authz:authorize>标签,在用户没有管理员权限的情况下,你可以避免渲染到课程编辑页面的链接:
 
  <authz:authorize ifAllGranted="ROLE_ADMINISTRATOR">    对大小写是敏感的!USER和user是不一样的
      <a href="admin/editCourse.htm?courseId=${course.id}">
          Edit Course
      </a>
  </authz:authorize>
 
这里,我们使用了ifAllGranted参数,由于这里只需要检查一个授权,所以ifAllGranted标签也是可以使用的。Web应用的安全性只是Acegi功能的一个方面。现在让我们考察它的另一面――保护方法调用。
    保护方法调用
虽然Acegi保护Web请求的手段是使用Servlet过滤器,它却是利用Spring对AOP的支持来提供方法级别的声明式保护的。这意味着不是设置一个SecurityEnforcementFilte r来强制安全性,而是设置一个Spring AOP代理来拦截方法调用,并将控制转交给安全拦截器。



在有javaScript脚本中有时不方便引用acegi标签,可以从SecurityContextHolder中获得权限集合,然后判断当前登录的用户,其权限集合中是否有某权限,根据判断结果来决定显示或隐藏哪些页面元素,见下面的JSP:
<%@ page contentType="text/html; charset=GBK"%>
<%@ taglib uri="/WEB-INF/struts-html.tld" prefix="html" %>
<%@ taglib uri="/WEB-INF/struts-bean.tld" prefix="bean" %>
<%@ taglib uri="/WEB-INF/struts-logic.tld" prefix="logic"%>
<%@ taglib uri="http://acegisecurity.sf.net/authz" prefix="authz"%>
<%@ page import="org.acegisecurity.Authentication" %>
<%@ page import="org.acegisecurity.context.SecurityContext" %>
<%@ page import="org.acegisecurity.context.SecurityContextHolder" %>
<%@ page import="org.acegisecurity.userdetails.UserDetails" %>
<%@ page import="org.acegisecurity.ui.AccessDeniedHandlerImpl" %>
<%@ page import="org.springframework.aop.framework.ProxyFactoryBean"%>
<%@ page import="org.springframework.context.ApplicationContext"%>
<%@ page import="org.springframework.context.support.ClassPathXmlApplicationC ontext"%>
<%@ page import="org.acegisecurity.GrantedAuthority"%>
<%@ page import="com.mysoft.common.ValidateAcegiAuth"%>
<%
SecurityContext ctx = SecurityContextHolder.getContext();
%>
。。。
<script language="JavaScript" type="text/javascript">
//下面是调用自定义的类ValidateAcegiAuth,输入当前登录用户的SecurityContext,及权限码,如果有AUTH_FUN_TICKET_CHKERR权限,则执行相应的JS脚本。
<%if(ValidateAcegiAuth.validate(ctx,"AUTH_FUN_TICKET_CHKERR")){%>
//具有AUTH_FUN_TICKET_CHKERR 权限,执行相应js脚本…
<%}%>
</script>
下面是ValidateAcegiAuth类的代码:
package com.mysoft.common;
import org.acegisecurity.Authentication;
import org.acegisecurity.context.SecurityContext;
import org.acegisecurity.context.SecurityContextHolder;
import org.acegisecurity.userdetails.UserDetails;
import org.acegisecurity.ui.AccessDeniedHandlerImpl;
import org.springframework.aop.framework.ProxyFactoryBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.support.ClassPathXmlApplicationC ontext;
import org.acegisecurity.GrantedAuthority;

public class ValidateAcegiAuth
{

public static boolean validate(SecurityContext ctxLoginUser,String sAuthID)
{
boolean bool = false;
Authentication authLoginUser = null;
GrantedAuthority[] arrayAuthorities = null;
if(ctxLoginUser!=null)
{
authLoginUser = ctxLoginUser.getAuthentication();
if(authLoginUser!=null)
{
arrayAuthorities = authLoginUser.getAuthorities();
for(int i=0;i<arrayAuthorities.length;i++)
{
if(arrayAuthorities[i].toString().equals(sAuthID))
{
bool = true;
break;
}
}
}
else
{
bool = false;
}
}
else
{
bool = false;
}
return bool;
}
}

hjm4702192
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acegi参考的部分翻译
03-03
本文档是"Spring框架下Acegi安全系统"(AcegiSecuritySystemforSpring)的一份参考指南,Acegi安全系统是由一序列类构成,这些类为Spring框架提供认证和授权服务。第一章安全1: 准备Acegi通过对流行的WEB容器的可选...
acegi集成CAS示例
06-12
4. **casapp1**:这个文件可能是一个包含示例项目的目录,其中包含了配置文件、源代码和必要的依赖。通过分析和运行这个项目,开发者可以深入理解AceGI和CAS的集成过程。 5. **最佳实践**:在实际部署中,应确保...
acegi标签的用法
iteye_7017的博客
08-13 76
  acegi标签的用法
使用Acegi标签<authz:authorize>
dos_186的博客
08-18 377
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了  11.4.6  使用Acegi标签 称之为标签可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户是否
使用Acegi标签<authz:authorize>
caishancai的博客
07-06 1256
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了 11.4.6 使用Acegi标签 称之为标签可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户
acegi-sample.rar_acegi
09-19
Acegi Security,现已被Spring Security所取代,是Java EE应用程序中的一个强大且灵活的安全框架,主要用于处理Web应用程序的安全性问题。这个"acegi-sample.rar_acegi"项目提供了一个详细的示例,帮助开发者理解并...
Acegi_db1.rar_acegi
最新发布
09-23
Acegi_db1.rar_acegi 是一个与Acegi安全框架相关的压缩包,它可能包含了用于数据配置和安全策略实现的源代码以及相关的说明文档。Acegi是Spring Security的前身,是一个非常重要的Java安全框架,主要用于企业级...
spring_secrity
StrutsFamily的专栏
02-13 1571
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
Spring学习笔记15
amethystic
04-14 1265
视图层安全       大多数Web应用中总有一些页面元素我们只希望向某些特定用户展示,而Spring提供的filter只能限定哪些用户访问页面,即它只能提供页面层次的粗粒度过滤功能。如果要实现细粒度的访问控制,即控制哪些用户可以访问页面上的特定元素,你需要使用Spring提供的JSP标签。这个标签只有3个标签:,和。若要在JSP页面中使用这些标签,必须使用JSP的命令来导入标签ht
如何在页面中使用Acegi权限集合和taglib控制页面元素
anjichan4261的博客
08-09 3796
如何在页面中使用Acegi权限集合和taglib控制页面元素 王保政 Email:baozhengw@netease.com JSP页面中的页面元素,URL,按钮是否可见或变灰都可通过Acegi标签来实现,使用Acegi标签,可设置不同的权限ID允许点击的按钮,访问的URL,或隐藏无权限的功能菜单。 如何配置和使用标签? 打开acegi-security-1....
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
基于FormsAuthentication的用户、角色身份认证
weixin_30522183的博客
11-15 611
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。 Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带...
Acegi+hibernate 动态实现基于角色的权限管理
冰云的专栏
03-02 2173
最近在做项目遇到了权限管理,用户要求可以自己建立不同的角色对系统的资源进行控制, 不同的用户有不同的角色,又恰恰框架中用到了struts+spring+hibernate,要求在web层调用 业务逻辑层 时不考虑权限,web层可以控制用户的显示界面,逻辑层处理用户权限问题。 想来想去好像只有spring 的aop 可以做到,在调用到 接口 中的方法时,首先检查用户的权限,如果检查通过则继续执行,否
java http post tomcat解除 长度限制
hjm4702192的专栏
08-19 1万+
1.    Get方法长度限制Http Get方法提交的数据大小长度并没有限制,HTTP协议规范没有对URL长度进行限制。这个限制是特定的浏览器及服务器对它的限制。如:IE对URL长度的限制是2083字节(2K+35)。下面就是对各种浏览器和服务器的最大处理能力做一些说明.Microsoft Internet Explorer (Browser)IE浏览器对URL的最大限制为2083个字符,如果超
java linux 项目经常无故被关闭 进程无故消息
hjm4702192的专栏
05-21 7406
布了几个项目。居然天天会自动的挂掉。急了。花时间解决了一下。总结方案如下: 1.磁盘满了。这大家都懂,清一下 2.tomcat在关闭的或是重启的时候,常常后台进程没有被关闭。需要用ps aux|grep java 这个命令查一下,把多余的进程关掉,再启动startup.sh 3.这种情况比较少见,就是在系统资源缺少的情况下,被系统自动DOWN掉,或是被其它软件干掉了。
win linux 下 部署war包到Tomcat根目录
hjm4702192的专栏
03-07 6485
在WIN系统下: 在TOMCAT中部署war  1、将war文件拷贝到tomcat目录\webapps\ 下。  2、将必要的jar文件拷贝到tomcat目录\lib\ 下。  3、修改tomcat目录\conf\下的server.xml。      将这段代码中的    拷贝一下并修改:path="" 为war路径,docBase=""为你的war的文件
was unable to start within 45 seconds. If the server requires more time, try increasing the timeout
hjm4702192的专栏
05-15 4050
在eclipse启动tomcat时遇到超时45秒的问题: Server Tomcat v7.0 Server at localhost was unable to startwithin 45 seconds. If the server requires more time, try increasingthe timeout in the server editor. 网上解决办法
ACEGI
08-06
ACEGI是一个用于Spring的权限控制框架。在整个框架的设计中,ACEGI使用了特定的核心接口、类和概念抽象。本文为了深入理解ACEGI的集成,将在介绍ACEGI Security的架构概览之前,先介绍ACEGI Security这个框架。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值