Springsecurity之jsp中url方式控制权限

最新推荐文章于 2022-09-22 11:26:33 发布
最新推荐文章于 2022-09-22 11:26:33 发布
阅读量326 收藏 1
点赞数
文章标签: java python
原文链接:https://my.oschina.net/u/2518341/blog/2993748
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    注:Springsecurity版本是4.2.4.RELEASE。

    在jsp中使用has('role')的方式可以看下我的这篇博客

1、引入maven依赖

    List-1.1

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>4.2.4.RELEASE</version>
</dependency>

2、xml配置

    List-2.1

<bean id="webInvocationFilter"
      class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">
    <constructor-arg ref="filterSecurityInterceptor"/>
</bean>

<security:http entry-point-ref="xx" use-expressions="true">
   ...
</security:http>

    如List-2.1所示,单独定义个DefaultWebInvocationPrivilegeEvaluator的bean就可以了,将interceptor作为构造函数的参数传给它,Springsecurity会自动加载它,需要注意的是这个webInvocationFilter要放在security配置的最前面,不然会失效,至于为什么,现在还没弄清楚。

3、jsp中使用标签

    List-3.1

...
<body>
...

<sec:authorize url="/someUrl">
    有权限的用户才能看到这段话。
</sec:authorize>
...
</body>
...

 

    我选择使用url的方式而非has('role')的方式,理由:角色名称、个数很有可能会经常变动,如果我们以has('role')的方式将role写到了jsp中,那么后面我们修改角色时,很有可能要去修改jsp中的角色;相反,如果以url的方式,那么我们只需要修改数据库中url、role、用户间的关系,不需要去关注是否要修改jsp中的权限。

4、源码分析

    如下图4.1所示,DefaultWebInvocationPrivilegeEvaluator的构造方法中需要AbstractSecurityInterceptor。

                           

                                                                                            图4.1

    来看isAllowed方法,如下List-4.1所示:

    List-4.1

public boolean isAllowed(String contextPath, String uri, String method,
		Authentication authentication) {
	Assert.notNull(uri, "uri parameter is required");
	FilterInvocation fi = new FilterInvocation(contextPath, uri, method);
	Collection<ConfigAttribute> attrs = securityInterceptor
			.obtainSecurityMetadataSource().getAttributes(fi);
	if (attrs == null) {
		if (securityInterceptor.isRejectPublicInvocations()) {
			return false;
		}
		return true;
	}
	if (authentication == null) {
		return false;
	}
	try {
		securityInterceptor.getAccessDecisionManager().decide(authentication, fi,
				attrs);
	}
	catch (AccessDeniedException unauthorized) {
		if (logger.isDebugEnabled()) {
			logger.debug(fi.toString() + " denied for " + authentication.toString(),
					unauthorized);
		}
		return false;
	}
	return true;
}
  1. 首先用securityInterceptor的SecurityMetadataSource获取当前request对应的所有ConfigAttribute,即访问当前request中的url需要哪些权限。
  2. 之后用securityInterceptor的AccessDecisionManager来决定当前用户是否可以访问request中的url。

Reference

  1. Springsecurity-4.2.4.RELEASE源码

转载于:https://my.oschina.net/u/2518341/blog/2993748

weixin_33877885
关注
springMvc+spring security 注解方式实现权限控制
Camellia919的博客
08-22 2万+
一个项目,权限自然是少不了的,在我来公司一段时间后发现公司后台的管理系统既然没有权限模块,所有人都都是超级管理员,更让人嗤之以鼻的是,整个系统也没有任何操作日志记录,这怎么得了,数据是的何等重要,岂是任谁都能操作的,且不说大家都很正常的使用,万一随便谁有个失误,那可是大事情,没有任何的操作记录,除了问题谁负责呢。所以来公司不久忙里偷闲先将权限搞定,接下来就是操作日志了。但是本人刚入行不是很久...
SpringMVC+Spring security登录验证+权限控制
yeqingyun2012的博客
12-31 855
一、pom.xml添加依赖 <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactI...
JSP 开发之Spring Security详解
10-19
主要介绍了JSP 开发之Spring Security详解的相关资料,spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架,需要的朋友可以参考下
Spring Security(18)——Jsp标签
dotedy的博客
12-12 446
博客分类:  Spring Security标签authorizeauthenticationaccesscontrollist  Jsp标签          Spring Security也有对Jsp标签的支持的标签库。其一共定义了三个标签:authorize、authentication和accesscontrollist。其authentication标签是用来代表当前
SpringSecurity式整合之加入jsp
Leon_Jinhai_Sun的博客
11-14 208
整合认证第二版 加入jsp,使用自定义认证页面 说明 SpringBoot官方是不推荐在SpringBoot使用jsp的,那么到底可以使用吗?答案是肯定的! 不过需要导入tomcat插件启动项目,不能再用SpringBoot默认tomcat了。 我们不能 通过启动类的方式来进行启动了,因为它会不识别Jsp页面,必须导入jar包,然后更换方法 导入SpringBoot的tomcat启动插件jar包 <dependency> <groupId>org.sprin
SpringSecurity
Zelda_xz的博客
12-27 320
1. SpringSecurity简介 1.1 相关概念 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。 用户认证:验证某个用户是否为系统的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户
SpringSecurity安全框架
IT_LD的博客
08-20 210
一.SpringSecurity安全框架: SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用 上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编 程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作 二.入门案例: 1.创建m
Spring security实现登陆和权限角色控制
09-09
在这个场景,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring security实现权限管理示例
08-31
在本文,我们将深入探讨如何使用Spring Security实现权限管理。Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,适用于Java应用程序。通过它,我们可以对用户访问资源进行精细控制,确保只有...
springsecurityanonymous_Spring Security教程(一)
weixin_39722025的博客
12-13 856
概要Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。这里过多的spring security解释和作用就不在这里赘述了,请自行搜索。目前最新版本的Spring Security为4.2.2,但是我这里用了稳定版本3.1.3。下面例子为一个简单的Spring S...
Spring Security如何使用URL地址进行权限控制
08-25
主要介绍了Spring Security如何使用URL地址进行权限控制,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 与 Servlet 和 JSP 示例
allway2的博客
09-22 145
在这个例子,我们将看到如何在 Java Servlet 和 JSP 应用程序使用 Spring 安全性。我们将使用 Spring Web Security 进行内存身份验证。由于此 Web 应用程序将在 servlet 容器运行,因此可以照常使用 JSP 和 Servlet。在这个例子我们不会使用 Spring MVC。初始化 Java 配置。
Spring Security-利用URL地址进行权限控制
weixin_30505485的博客
06-29 744
目的是:系统内存在很多不同的用户,每个用户具有不同的资源访问权限,具体表现就是某个用户对于某个URL是无权限访问的。需要Spring Security忙我们过滤。参考:http://www.cnblogs.com/quyixuanblog/p/5213503.html 本文的很多命名都是参考链接博文的,最大的不同应该是本文是基于Spring boot,再次也向前人致敬!由上一篇可知,FilterS...
SpringBoot:整合SpringSecurity
燕双嘤
04-25 1731
为了提供安全的机制,Spring提供了其安全框架Spring Security,它是一个能够为基于Spring生态圈,提供安全访问控制解决方案的框架。它提供了一组可以在Spring应用上下文配置的机制,充分利用了Spring的强大特性,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity学习笔记之六:保护视图
zhoucheng05_13的博客
03-05 3869
Spirng Security本身提供了一个JSP标签库,而Thymeleaf通过特定的方言实现了与Spring Security的集成。使用Spring SecurityJSP标签库Spring SecurityJSP标签库很小,只包含是三个标签: 为了使用JSP标签库,需要在JSP声明它:<%@ taglib prefix="security" uri="http://www.sprin
springboot整合springsecurity框架,整合jsp页面,并且让项目识别jsp页面,数据源配置为数据库,完成连接数据库的认证操作(集式项目)(二)
一天不写代码难受的博客
10-14 476
springboot项目里面,一般是不建议使用jsp页面的,但是还是可以使用的,我们通过springboot的启动类进行启动项目,是不识别jsp页面的,所以不同通过启动类进行启动,现在我们要使用其他的方法 1 导入一个启动插件的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starte
Spring Security 登录JSP页面
LGF的专栏
04-14 672
&lt;%@page import="org.apache.jasper.tagplugins.jstl.core.ForEach"%&gt; &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; &lt;% String path = request.getContextPath()
Spring Security权限管理实战教程
"Spring securityJava应用广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程,主要包括以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值