Acegi的标签库authzauthorize

最新推荐文章于 2024-11-12 11:19:19 发布
最新推荐文章于 2024-11-12 11:19:19 发布
阅读量139 收藏
点赞数
文章标签: javascript java ui ViewUI
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了
11.4.6<wbr> 使用Acegi的标签库<br> 称之为标签库可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:&lt;authz:authorize&gt;标签。<br> 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。&lt;authz:authorize&gt;标签能够根据当前用户是否拥有恰当权限来决定显示或隐藏Web页面的内容。<br> &lt;authz:authorize&gt;是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数:<br> n<wbr><wbr> ifAllGranted――是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限才能渲染标签体;<br> n<wbr><wbr> ifAnyGranted――是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个才能渲染标签体;<br> n<wbr><wbr> ifNotGranted――是一个由逗号分隔的权限列表,用户必须不拥有其中的任何一个才能渲染标签体。<br> 你可以轻松地想像在JSP中如何使用&lt;authz:authorize&gt;标签根据用户的权限来限制他们的行为。例如,Spring培训应用有一个向用户显示课程有关信息的课程明细页面。对管理员来说,如果能够从课程明细页面直接跳转到课程编辑页面从而可以更新课程信息是很方便的。但你不希望这个链接对除了管理员之外的其他用户可见。<br> 使用&lt;authz:authorize&gt;标签,在用户没有管理员权限的情况下,你可以避免渲染到课程编辑页面的链接:<br><wbr><br><wbr> &lt;authz:authorize ifAllGranted="ROLE_ADMINISTRATOR"&gt;<wbr><wbr> 对大小写是敏感的!USER和user是不一样的<br><wbr><wbr><wbr> &lt;a href="admin/editCourse.htm?courseId=${course.id}"&gt;<br><wbr><wbr><wbr><wbr><wbr> Edit Course<br><wbr><wbr><wbr> &lt;/a&gt;<br><wbr> &lt;/authz:authorize&gt;<br><wbr><br> 这里,我们使用了ifAllGranted参数,由于这里只需要检查一个授权,所以ifAllGranted标签也是可以使用的。Web应用的安全性只是Acegi功能的一个方面。现在让我们考察它的另一面――保护方法调用。<br><wbr><wbr> 保护方法调用<br> 虽然Acegi保护Web请求的手段是使用Servlet过滤器,它却是利用Spring对AOP的支持来提供方法级别的声明式保护的。这意味着不是设置一个SecurityEnforcementFilte<wbr>r来强制安全性,而是设置一个Spring AOP代理来拦截方法调用,并将控制转交给安全拦截器。<br><br><br><br> 在有javaScript脚本中有时不方便引用acegi标签,可以从SecurityContextHolder中获得权限集合,然后判断当前登录的用户,其权限集合中是否有某权限,根据判断结果来决定显示或隐藏哪些页面元素,见下面的JSP:<br> &lt;%@ page contentType="text/html; charset=GBK"%&gt;<br> &lt;%@ taglib uri="/WEB-INF/struts-html.tld" prefix="html" %&gt;<br> &lt;%@ taglib uri="/WEB-INF/struts-bean.tld" prefix="bean" %&gt;<br> &lt;%@ taglib uri="/WEB-INF/struts-logic.tld" prefix="logic"%&gt;<br> &lt;%@ taglib uri="http://acegisecurity.sf.net/authz" prefix="authz"%&gt;<br> &lt;%@ page import="org.acegisecurity.Authentication" %&gt;<br> &lt;%@ page import="org.acegisecurity.context.SecurityContext" %&gt;<br> &lt;%@ page import="org.acegisecurity.context.SecurityContextHolder" %&gt;<br> &lt;%@ page import="org.acegisecurity.userdetails.UserDetails" %&gt;<br> &lt;%@ page import="org.acegisecurity.ui.AccessDeniedHandlerImpl" %&gt;<br> &lt;%@ page import="org.springframework.aop.framework.ProxyFactoryBean"%&gt;<br> &lt;%@ page import="org.springframework.context.ApplicationContext"%&gt;<br> &lt;%@ page import="org.springframework.context.support.ClassPathXmlApplicationC<wbr>ontext"%&gt;<br> &lt;%@ page import="org.acegisecurity.GrantedAuthority"%&gt;<br> &lt;%@ page import="com.mysoft.common.ValidateAcegiAuth"%&gt;<br> &lt;%<br> SecurityContext ctx = SecurityContextHolder.getContext();<br> %&gt;<br> 。。。<br> &lt;script language="JavaScript" type="text/javascript"&gt;<br> //下面是调用自定义的类ValidateAcegiAuth,输入当前登录用户的SecurityContext,及权限码,如果有AUTH_FUN_TICKET_CHKERR权限,则执行相应的JS脚本。<br> &lt;%if(ValidateAcegiAuth.validate(ctx,"AUTH_FUN_TICKET_CHKERR")){%&gt;<br> //具有AUTH_FUN_TICKET_CHKERR 权限,执行相应js脚本…<br> &lt;%}%&gt;<br> &lt;/script&gt;<br> 下面是ValidateAcegiAuth类的代码:<br> package com.mysoft.common;<br> import org.acegisecurity.Authentication;<br> import org.acegisecurity.context.SecurityContext;<br> import org.acegisecurity.context.SecurityContextHolder;<br> import org.acegisecurity.userdetails.UserDetails;<br> import org.acegisecurity.ui.AccessDeniedHandlerImpl;<br> import org.springframework.aop.framework.ProxyFactoryBean;<br> import org.springframework.context.ApplicationContext;<br> import org.springframework.context.support.ClassPathXmlApplicationC<wbr>ontext;<br> import org.acegisecurity.GrantedAuthority;<br><br> public class ValidateAcegiAuth<br> {<br><br> public static boolean validate(SecurityContext ctxLoginUser,String sAuthID)<br> {<br> boolean bool = false;<br> Authentication authLoginUser = null;<br> GrantedAuthority[] arrayAuthorities = null;<br> if(ctxLoginUser!=null)<br> {<br> authLoginUser = ctxLoginUser.getAuthentication();<br> if(authLoginUser!=null)<br> {<br> arrayAuthorities = authLoginUser.getAuthorities();<br> for(int i=0;i&lt;arrayAuthorities.length;i++)<br> {<br> if(arrayAuthorities[i].toString().equals(sAuthID))<br> {<br> bool = true;<br> break;<br> }<br> }<br> }<br> else<br> {<br> bool = false;<br> }<br> }<br> else<br> {<br> bool = false;<br> }<br> return bool;<br> }<br> }<br><br></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>
iteye_4537
关注
Acegi安全系统介绍(一)
02-21
Acegi是SpringFramework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:完善的认证和授权机制,Http资源访问控制,Method调用访问控制,AccessControlList(ACL)基于对象实例的访问控制,...
acegi标签的用法
iteye_7017的博客
08-13 88
  acegi标签的用法
使用Acegi标签<authz:authorize>
12-25 139
11.4.6  使用Acegi标签 称之为标签可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签:&lt;authz:authorize&gt;标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。&lt;authz:authorize&gt;标签能够根据当前用户是否拥有恰当权限来决定显示或隐藏Web页...
使用Acegi标签authz:authorize
caishancai的博客
07-06 1272
由于前面程序员有用到这个东西,自己又不懂,上网查一篇不能转载,所以就直接cp过来了,希望原作者原谅!在着多谢了 11.4.6 使用Acegi标签 称之为标签可能有点言过其辞了。实际上,Acegi只提供了一个JSP标签标签。 虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户
acegi-sample.rar_acegi
09-19
Acegi Security,现已被Spring Security所取代,是Java EE应用程序中的一个强大且灵活的安全框架,主要用于处理Web应用程序的安全性问题。这个"acegi-sample.rar_acegi"项目提供了一个详细的示例,帮助开发者理解并...
Acegi_db1.rar_acegi
09-23
Acegi_db1.rar_acegi 是一个与Acegi安全框架相关的压缩包,它可能包含了用于数据配置和安全策略实现的源代码以及相关的说明文档。Acegi是Spring Security的前身,是一个非常重要的Java安全框架,主要用于企业级...
acegisecurity-1.0.7.zip_.acegisecuri_acegi security 1.0.7_acegi
09-24
Acegi Security是一款在Java平台上广泛使用的安全框架,它为Spring应用程序提供了高级的身份验证、授权和服务保护功能。在本文中,我们将深入探讨Acegi Security 1.0.7版本中的核心概念和关键特性。 首先,我们要...
acegi_help.zip_Help!_acegi
09-23
Acegi Security,现已被Spring Security所取代,是Java EE应用程序中的一个强大安全框架。这个"acegi_help.zip_Help!_acegi"压缩包显然包含了有关如何配置和使用Acegi Security的重要资源,对于那些在Spring框架基础...
ACEGI标签及其扩展
懒散狂徒的专栏
08-21 2019
 ACEGI标签虽然Acegi的安全强制过滤器能够阻止用户浏览他们没有权限看到的页面,但最好的做法是从一开始就不提供指向受限制页面的链接。标签能够根据当前用户是否拥有恰当权限来决定显示或隐藏Web页面的内容。是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数:n   ifAllGranted——是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限才能
spring_secrity
StrutsFamily的专栏
02-13 1601
Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
Spring学习笔记15
amethystic
04-14 1282
视图层安全       大多数Web应用中总有一些页面元素我们只希望向某些特定用户展示,而Spring提供的filter只能限定哪些用户访问页面,即它只能提供页面层次的粗粒度过滤功能。如果要实现细粒度的访问控制,即控制哪些用户可以访问页面上的特定元素,你需要使用Spring提供的JSP标签。这个标签只有3个标签:,和。若要在JSP页面中使用这些标签,必须使用JSP的命令来导入标签ht
Shiro学习笔记(3)——授权(Authorization)
热门推荐
君君的专栏
05-28 1万+
什么是授权 授权三要素 Shiro的三种授权方式 1 编码方式授权 2 基于注解的授权 3 JSP标签授权1.什么是授权授权,就是访问控制,控制某个用户在应用程序中是否有权限做某件事2.授权三要素 权限 请看Shiro学习笔记(1)——shiro入门中权限部分内容角色 通常代表一组行为或职责.这些行为演化为你在一个软件应用中能或者不能做的事情。角色通常是分配给用户帐户的,因此,通过分配,用户
基于FormsAuthentication的用户、角色身份认证
weixin_30522183的博客
11-15 638
一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。 Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而SessionID存储在Cookie中,客户端以后每次请求都会带...
vue2面试题5|[2024-11-08]
m0_49474690的博客
11-08 958
关于vue2API的面试题
Echarts 折线图
weixin_44443380的博客
11-08 265
解决方法:设置emphasis.lineStyle和折线图本身lineStyle相同即可。问题:鼠标悬停在折线图上,折线变粗。3、去掉 hover 折线变粗方法。
Javascript中Map与Set以及其常见遍历方式
警警的博客
11-12 554
JavaScript中,Map和Set是两种非常重要的集合型,它们提供了比统对象(Object)和数组(Array)更强大和灵活的数据存储和操作方法。下面是对Map和Set的详细解释。
Vue中的常用指令
最新发布
m0_62388400的博客
11-12 722
指令(Directives)是 Vue 提供的带有的 特殊 标签。为啥要学:提高程序员操作 DOM 的效率。vue 中的指令按照不同的用途可以分为如下 6 大:内容渲染指令(v-html、v-text)条件渲染指令(v-show、v-if、v-else、v-else-if)事件绑定指令(v-on)属性绑定指令 (v-bind)双向绑定指令(v-model)列表渲染指令(v-for)指令是 vue 开发中最基础、最常用、最简单的知识点。
Acegi安全框架配置详解
例如,每个过滤器都可以视为一个独立的Spring Bean,它们通过`<property>`标签进行配置和连接。这种设计使得Acegi能够灵活地与其他Spring组件集成,并且可以根据需求添加或删除特定的过滤器。 通过以上配置,Acegi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值