spring security之应用

最新推荐文章于 2020-10-25 16:06:46 发布

__Jone

最新推荐文章于 2020-10-25 16:06:46 发布

阅读量1k

点赞数

分类专栏：常用组件文章标签： spring security

常用组件专栏收录该内容

13 篇文章 0 订阅

订阅专栏

spring security3 页面权限标签问题

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>

<sec:authorize ifAllGranted="ROLE_ADMIN,ROLE_USER">

```
  admin and user  
```
```
</sec:authorize>  
```
```
  
```

<sec:authorize ifAnyGranted="ROLE_ADMIN,ROLE_USER">

```
  admin or user  
```
```
</sec:authorize>  
```
```
  
```

<sec:authorize ifNotGranted="ROLE_ADMIN">

```
  not admin  
```
```
</sec:authorize>  
```
```
      
```

ifAllGranted，只有当前用户同时拥有ROLE_ADMIN和ROLE_USER两个权限时，才能显示标签内部内容。

ifAnyGranted，如果当前用户拥有ROLE_ADMIN或ROLE_USER其中一个权限时，就能显示标签内部内容。

ifNotGranted，如果当前用户没有ROLE_ADMIN时，才能显示标签内部内容。

```
  
```

<sec:accesscontrollist domainObject="${item}" hasPermission="8,16">

      <a href="message.do?action=remove&id=${item.id}">Remove</a>

```
</sec:accesscontrollist>  
```
```
  
```

我们将当前显示的对象作为参数传入acl标签，然后指定判断的权限为8(删除)和16(管理)，当前用户如果拥有对这个对象的删除和管理权限时，就会显示对应的remove超链接，用户才可以通过此链接对这条记录进行删除操作。

在spring security3中提供了标签控制权限的解决方案，比如<sec:authorize url="/admin.jsp"> 如果登录用户不具有admin.jsp的访问权限，那么他将无法访问此标签体里的内容。

当我们自定义了spring security3 的过滤链的时候发现页面权限控制标签<sec:authorize之类的已经不能起效了,这是因为我们缺少一个必须的实例

所以找了下源码看到需要一个DefaultWebInvocationPrivilegeEvaluator决策器实例,直接配置一个实例然后注入FilterSecurityInterceptor的实例即可

<bean id="webInvocationFilter"
class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">
<constructor-arg ref="filterSecurityInterceptor" />
</bean>

这样我们就可以在页面继续使用security的标签

<%@ page language="java" pageEncoding="UTF-8"%>
<%@ taglib prefix='sec' uri='http://www.springframework.org/security/tags' %>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<base href="<%=basePath%>">
<title>SPRING SECURITY TEST CENTER</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">
<!--
<link rel="stylesheet" type="text/css" href="styles.css">
-->
</head>
<body>
用户名:<sec:authentication property="name" />, 欢迎来到主页!<br>
拥有权限:<sec:authentication property="principal.authorities" /><br>
是否可用:<sec:authentication property="principal.enabled" /><br>
未被锁定:<sec:authentication property="principal.accountNonLocked" /><br>
<sec:authorize ifAnyGranted="ROLE_SUPERVISOR">您是超级管理员,可看到该信息:(这里可以用逗号分隔，加入多个角色你拥有管理员权限)</sec:authorize><br>
<sec:authorize url='/test.jsp'>你登陆成功了可以看到: <a href="<%=path %>/supervisor/index.jsp">管理页面</a></sec:authorize>
<br><a href="<%=path %>/logout">注销登录</a>
</body>
</html>

1. 5：完善web页面验证规则
2. Java代码
1. <http auto-config="true">
2. <intercept-url pattern="/js/**" filters="none"/>
3. <intercept-url pattern="/css/**" filters="none"/>
4. <intercept-url pattern="/images/**" filters="none"/>
5. <intercept-url pattern="/a.jsp" access="ROLE_A" />
6. <intercept-url pattern="/b.jsp" access="ROLE_B" />
7. <intercept-url pattern="/c.jsp" access="ROLE_A, ROLE_B" />
8. <intercept-url pattern="/**" access="ROLE_USER" />
9. </http>
1. Java代码
  1. <http auto-config="true"> <intercept-url pattern="/js/**" filters="none"/> <intercept-url pattern="/css/**" filters="none"/> <intercept-url pattern="/images/**" filters="none"/> <intercept-url pattern="/a.jsp" access="ROLE_A" /> <intercept-url pattern="/b.jsp" access="ROLE_B" /> <intercept-url pattern="/c.jsp" access="ROLE_A, ROLE_B" /> <intercept-url pattern="/**" access="ROLE_USER" /> </http>
1. 6：自定义验证配置
2. Java代码
1. 
2. <form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp" />
3. 
4. <access-denied-handler error-page="/accessDenied.jsp"/>
5. 
6. <remember-me data-source-ref="dataSource" />
7. 
8. <logout invalidate-session="true" logout-success-url="/login.jsp" />
9. 
10. <session-management invalid-session-url="/sessionTimeout.htm">
11. <concurrency-control max-sessions="1" expired-url="/sessionTimeout.htm" />
12. </session-management>
13. </http>
14. 可以使用SS自带的登陆页面作为login.jsp的模板
1. Java代码
  1. <http auto-config="true">  <form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp" />  <access-denied-handler error-page="/accessDenied.jsp"/>  <remember-me data-source-ref="dataSource" />  <logout invalidate-session="true" logout-success-url="/login.jsp" />  <session-management invalid-session-url="/sessionTimeout.htm"> <concurrency-control max-sessions="1" expired-url="/sessionTimeout.htm" /> </session-management> </http> 可以使用SS自带的登陆页面作为login.jsp的模板
1. 7：本地化消息输出
  拷贝本地化资源文件后，在配置文件中加载该文件：
2. Java代码
1. 
2. <beans:bean id="messageSource"
3. class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
4. <beans:property name="basename" value="classpath:messages"/>
5. </beans:bean>
6. 资源文件在SS核心包：spring-security-core-3.0.2.RELEASE.jar的orgspringframeworksecurity目录中
1. Java代码
  1.  <beans:bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource"> <beans:property name="basename" value="classpath:messages"/> </beans:bean> 资源文件在SS核心包：spring-security-core-3.0.2.RELEASE.jar的orgspringframeworksecurity目录中
1. 8：在web页面中获取用户信息
2. Java代码
1. 方式一：Java代码
2. Authentication auth = SecurityContextHolder.getContext().getAuthentication();
3. Collection<GrantedAuthority> col = auth.getAuthorities();
4. 方式二：标签库
5. <%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
6. <sec:authentication property="name“/>
7. <sec:authentication property="authorities“/>
1. Java代码
  1. 方式一：Java代码 Authentication auth = SecurityContextHolder.getContext().getAuthentication(); Collection<GrantedAuthority> col = auth.getAuthorities(); 方式二：标签库 <%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %> <sec:authentication property="name“/> <sec:authentication property="authorities“/>
1. 9：在web页面进行元素安全控制
2. Java代码
1. 方式一
2. <sec:authorizeifAnyGranted="ROLE_A">
3. <a href="a.jsp">你可以访问a.jsp</a>
4. </sec:authorize>
5. <sec:authorizeifNotGranted="ROLE_A">
6. 你不可以访问a.jsp
7. </sec:authorize>
8. 方式二
9. <sec:authorizeurl="/a.jsp">
10. <a href="a.jsp">你可以访问a.jsp</a>
11. </sec:authorize>
1. Java代码
  1. 方式一 <sec:authorizeifAnyGranted="ROLE_A"> <a href="a.jsp">你可以访问a.jsp</a> </sec:authorize> <sec:authorizeifNotGranted="ROLE_A"> 你不可以访问a.jsp </sec:authorize> 方式二 <sec:authorizeurl="/a.jsp"> <a href="a.jsp">你可以访问a.jsp</a> </sec:authorize>
1. 10：全局方法安全控制
2. Java代码
1. <global-method-security pre-post-annotations="enabled">
2. <protect-pointcut expression="execution(* com.xasxt.*Service.add*(..))" access="ROLE_A"/>
3. <protect-pointcut expression="execution(* com.xasxt.*Service.delete*(..))" access="ROLE_B"/>
4. </global-method-security>
5. 此处使用了AspectJ中常用的切入点表达式（百度：AspectJ execution）
1. Java代码
  1. <global-method-security pre-post-annotations="enabled"> <protect-pointcut expression="execution(* com.xasxt.*Service.add*(..))" access="ROLE_A"/> <protect-pointcut expression="execution(* com.xasxt.*Service.delete*(..))" access="ROLE_B"/> </global-method-security> 此处使用了AspectJ中常用的切入点表达式（百度：AspectJ execution）
1. 11：使用注解进行方法安全控制
2. Java代码
1. public class DemoService {
2. @PreAuthorize("hasRole('ROLE_A')")
3. public void methodA() {
4. }
5. @PreAuthorize("hasAnyRole('ROLE_A, ROLE_B')")
6. public void methodB() {
7. }
8. }
9. hasRole 与hasAnyRole为SS通用内置表达式（google : spring security Common Built- In Expressions）