Springsecurity在jsp中进行权限控制的踩坑记

最新推荐文章于 2021-02-26 11:07:24 发布
最新推荐文章于 2021-02-26 11:07:24 发布
阅读量1k 收藏 1
点赞数
文章标签: java python
原文链接:https://my.oschina.net/u/2518341/blog/2990997
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    注:Springsecurity的版本是4.2.4.RELEASE.

    项目中有这样的需求,想让jsp页面的某些链接、按钮等只让高权限的用户看到,使用的是Springsecurity的jsp tag.

1、jsp页面

    如下List-1.1所示,想要达到的效果是只有当用户有角色role2时才能看到"高权限的用户可见!"这段内容。

    List-1.1

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<html>
<head>
    <title>xxx</title>
</head>
<body>

<sec:authorize access="hasRole('role2')">
    高权限的用户可见!
</sec:authorize>

.......

2、项目中要引入jsp tag的依赖

    List-2.1

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>4.2.4.RELEASE</version>
</dependency>

3、xml配置    

    要设置expressionHandler,且将defaultRolePrefix设置为"",为什么呢?这要深入源码层。

    List-3.1

<security:http entry-point-ref="xx" use-expressions="true">
    ...
    <security:expression-handler ref="expressionHandler"/>
    ...
</security:http>

<bean id="expressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
    <!--有意的设置为""-->
    <property name="defaultRolePrefix" value=""/>
</bean>
...

    DefaultWebSecurityExpressionHandler中,defaultRolePrefix的值是ROLE_,如果defaultRolePrefix的值不为null或者"",那么SecurityExpressionRoot的方法getRoleWithDefaultPrefix中,会把defaultRolePreix加上作为前缀来使用。

    我就是不知道这点,所以弄了半天发现没有生效,后来进入源码才明白的!

转载于:https://my.oschina.net/u/2518341/blog/2990997

weixin_33935777
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 682
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
springsecurity 表达式一览
weixin_30855761的博客
08-17 397
表达式 描述 hasRole([role]) 当前用户是否拥有指定角色。 hasAnyRole([role1,role2]) 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色的任意一个则返回true。 hasAuthority([auth]) 等同于hasRole ...
spring-security实现方法级别、页面端的权限控制
qq_45441466的博客
11-08 866
spring-security实现方法级别、页面端的权限控制(结合黑马SSM实现权限管理项目) 目录 spring-security实现方法级别、页面端的权限控制(结合黑马SSM实现权限管理项目) 1.方法级别权限控制 1.JSR-250注解使用 2.Secured注解使用 3.基于表达式操作 2.页面端权限控制 1.方法级别权限控制 1.JSR-250注解使用 导入JSR-250 maven坐标 <dependency> &lt...
分布式自定义权限控制-01 JSP页面权限控制
zxysshgood的博客
06-29 1799
      如果提前正常一个java EE项目,权限控制是必不可少的一环。无论干嘛都绕不过权限控制一说。比如,没有权限的人不能发起页面请求,ajax请求,比如JSP页面有权限的人和没有权限的用户,是两种展现。有些人有查询按钮,有些人没有查询按钮等。        如上方提到的相关权限控制是在平常不过的要求了。页面请求,和ajax请求一般是可以通过Spring 或者 structs 的拦截器,对相关...
服务器端----------页面端标签控制权限jsp
Rocky balboa
02-26 225
1.依赖导入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>version</version> </dependency> 2.页面导入 <%@taglib uri="http://www.springframewo
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security权限控制是通过FilterSecurityInterceptor来实现的。FilterSecurityInterceptor是一个过滤器,它可以拦截用户的请求,并根据用户的角色和权限来决定是否允许用户访问某个资源。...
Spring security实现登陆和权限角色控制
09-09
在这个场景,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
Spring Security,可以集成OAuth2服务器端组件,处理用户授权流程,生成访问令牌。 JWT 是一种轻量级的身份验证机制,用于在各方之间安全地传输信息。它由三部分组成:Header、Payload(载荷)和Signature...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
java自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文,我们将深入探讨如何在Java项目自定义Spring Security权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
jsp权限控制jsp自定义标签实现
08-12
Struts2拦截器:需要配置action进行拦截。而且。有时候我们并不想让用户看到不改属于他操作的按钮。(sturts可以进行判断,但有写复杂) 使用jsp自定义标签的功能实现权限控制。(如果用户没有某个模块的删除权限,就不现实这个删除按钮) 在整个项目所有的页面都可以引入自定义的标签去做到权限控制。 自定义标签文件 删除 可以控制页面的每个元素,只需要一个类就能够实现
springboot2.14+security5+mybatis+jsp搭建web项目
04-21
ecplise安装spring boot教程,spring boot2.1.4整合mybaits,整合jsp,整合security5文档和完成的实例demo
JSP权限控制(一)
dizhang的专栏
07-15 2844
JSP权限控制(一) 近几天不是很忙,就想看看关于 WEB 方式 (Jsp) 后台权限控制的设计实现问题 , 在 Google 搜了一下,一大堆的东西,当看到头大的时候决定自己先试着做一个简单例子。   先推荐大家有时间看一下关于 RBAC 即角色访问控制 (Role Based  Access Control) 的相关文章,虽然已经是个老话题了 , 但如果要在一个大的项目实现权限控制
spring security权限控制(方法级别+页面级别)注解简单使用
qq_26496077的博客
11-04 1308
一: 方法级别权限控制 JSR-250注解 pom.xml文件导入依赖jar包 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> <version>1.0</version> </depe
JSP权限控制(二)
dizhang的专栏
07-15 3834
JSP权限控制(二) 今天把源代码贴出来 … 按照代码再加点解释。   1 )首先建立管理用户表,其 UserPopedom 记录用户的权限字符,其实也就是一些 JSP 或者 ACTION 的文件名: CREATE TABLE [dbo].[AdminUser] (        [UserID] [varchar] (50) COLLATE Chinese_PRC_CI_AS
java自定义标签(改造spring security配合控制按钮权限)
Zzhou1990的博客
08-05 7537
参考 http://gaojiewyh.iteye.com/blog/1501470 自定义一个简单的标签,传入按钮对应的url后台判断该用户是否有对应权限访问按钮。 tag java类   通过SpringWiredBean获取对应的bean获取权限数据(SpringWiredBean查看我的另一篇文章) 如果直接使用bean会报错:奇怪的错 javax.naming.NameNo
Spring Boot —— Security 控制按钮权限
Genius only means hard-working all one's life.
05-30 6176
文章目录Spring Boot —— Security 控制按钮权限前言实现引入对应的依赖配置标签 Spring Boot —— Security 控制按钮权限 前言 在freemarker, 通过Security根据用户角色控制页面按钮或菜单的显示。 Security提供一套页面标签,可以做到让内容根据安全配置情况显示或不显示,ftl 伪代码如下: <#assign security=J...
java url权限控制_Springsecurityjspurl方式控制权限
weixin_29817791的博客
02-16 193
注:Springsecurity版本是4.2.4.RELEASE。在jsp使用has('role')的方式可以看下我的这篇博客。1、引入maven依赖List-1.1org.springframework.securityspring-security-taglibs4.2.4.RELEASE2、xml配置List-2.1class="org.springframework.security.w...
java spring 权限_使用Spring Security实现权限管理
weixin_35720393的博客
02-13 491
使用Spring Security实现权限管理1、技术目标了解并创建Security框架所需数据表为项目添加Spring Security框架掌握Security框架配置应用Security框架为项目的CRUD操作绑定权限注意:本文所用项目为"影片管理",参看2、权限管理需求描述为系统的每个操作定义权限,如定义4个权限:1)超级权限,可以使用所有操作2)添加影片权限3)修改影片权限4)删除影片权...
Spring Security 3.0.1文文档:权限控制与修复
"Spring Security-3.0.1文官方文档是针对该版本的一个bug修复版,主要修复了3.0的问题,并修正了文档的拼写错误。文档介绍了Spring Security的基本概念、获取方式以及核心模块,同时也详细阐述了安全命名空间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值