Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的
Security共有三类标签authorize authentication accesscontrollist ,第三个标签不在这里研究
前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:
本文配置
一、authorize
对应的类: org.springframework.security.taglibs.authz.AuthorizeTag
attribute: access url method ifNotGranted ifAllGranted ifAnyGranted
使用方式:见SimpleDemo的index.jsp
#这里可以用逗号分隔,加入多个角色
你拥有管理员权限,你可以查看 该页面 管理员进入
你登陆成功了可以看到 这个页面
页面标签的使用与权限配置相对应
对比可以看到只有ROLE_ADMIN角色的用户才能访问admin.jsp,通过认证的用户都可以访问profile.jsp
从标签源码可以知道,authorize标签判断顺序是: access->url->ifNotGranted->ifAllGranted->ifAnyGranted 但他们的关系是“与”: 即只要其中任何一个属性不满足则该标签中间的内容将不会显示给用户,