使用spring security可以对web系统具体url或者资源的访问进行权限控制,实现的方法现在暂不介绍,首先向各位同学们介绍的是使用spring security的常用内建表达式对于权限的说明,使用内建表达式,首先需要在<http> 元素里添加<use-expression = "true">,如
<http auto-config= "true" use-expression="true">
这个就像是在jsp页面中使用struts标签或者jstl表达式一样,需要导入相关的标签库,才能使用对应的标签命令。
开启了内建表达式之后,我们就权限的配置进行一些说明:
- hasRole([role]) 返回 true 如果当前主体拥有特定角色。
- hasAnyRole([role1,role2]) 返回 true 如果当前主体拥有任何一个提供的角色 (使用逗号分隔的字符串队列)
- principal 允许直接访问主体对象,表示当前用户
- authentication 允许直接访问当前 Authentication对象 从SecurityContext中获得
- permitAll 一直返回true
- denyAll 一直返回false
- isAnonymous() 返回 true 如果当前主体是一个匿名用户
- isRememberMe() 返回 true 如果当前主体是一个 remember-me 用户
- isAuthenticated() 返回 true 如果用户不是匿名用户
- isFullyAuthenticated() 返回 true 乳沟用户不是匿名也不是 a remember-me 用户
具体的使用方法,参考
http://www.360doc.com/content/14/0814/09/10825198_401716876.shtml