Spring Security入门篇——标签sec:authorize的使用

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1.4w 收藏 7
点赞数 3
分类专栏: sec 文章标签: sec

Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的



Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究

前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:<%@ taglib prefix=”sec” uri=”http://www.springframework.org/security/tags” %>

本文配置

一、authorize

对应的类: org.springframework.security.taglibs.authz.AuthorizeTag

attribute: access url method  ifNotGranted  ifAllGranted  ifAnyGranted

使用方式:见SimpleDemo的index.jsp

<p>

<sec:authorize ifAllGranted="ROLE_ADMIN">#这里可以用逗号分隔,加入多个角色

你拥有管理员权限,你可以查看 该页面<a href="http://blog.163.com/sir_876/blog/admin.jsp"> 管理员进入</a> </sec:authorize> </p> <p> <sec:authorize url='/profile.jsp'>你登陆成功了可以看到 <a href="http://blog.163.com/sir_876/blog/profile.jsp"> 这个页面</a></sec:authorize>

</p>

页面标签的使用与权限配置相对应

<intercept-url            pattern="/admin.jsp"            access="hasRole('ROLE_ADMIN')" />        <intercept-url            pattern="/profile.jsp"            access="isAuthenticated()" />        <intercept-url            pattern="/**"            access="permitAll" />

对比可以看到只有ROLE_ADMIN角色的用户才能访问admin.jsp,通过认证的用户都可以访问profile.jsp

从标签源码可以知道,authorize标签判断顺序是: access->url->ifNotGranted->ifAllGranted->ifAnyGranted 但他们的关系是“与”: 即只要其中任何一个属性不满足则该标签中间的内容将不会显示给用户,举个例子:

<sec:authorize  ifAllGranted=”ROLE_ADMIN,ROLE_MEMBER” ifNotGranted=”ROLE_SUPER”>满足才会显示给用户 </sec:authorize>

标签中间的内容只有在当前用户拥有ADMIN,MEMBER角色,但不拥有SUPER权限时才会显示

access属性是基于角色判断,url属性是基于访问路径判断,与security.xml配置对应

对于ifAllGranted ,ifNotGranted,ifAnyGranted属性的理解可以与集合api类比

Collection grantedAuths  :当前用户拥有的权限
Collection requiredAuths : 当前要求的权限,即ifAllGranted ,ifNotGranted,ifAnyGranted 属性的值

满足ifAllGranted: 只需要grantedAuths.containsAll(requiredAuths);返回true即可
满足ifAnyGranted: 只需要grantedAuths.retainAll(requiredAuths);有内容即可(两集合有交集)
满足ifNotGranted:与Any相反,如果没有交集即可

二、authentication

对应的类: org.springframework.security.taglibs.authz.AuthenticationTag

attribute: property(required) var  htmlEscape  scope

使用方式:

<sec:authentication property=’name’ />
<sec:authentication property=’principal.username’ />
<sec:authentication property=’principal.enabled’ />
<sec:authentication property=’principal.accountNonLocked’ />

主要用来显示authentication属性,

var scope: 将property的值以var设置到scope域中

htmlEscape: 将特殊字符转义 > –> “&gt”
写bug小能手
关注
专栏目录
Spring Boot+Spring Security标签sec:authorize使用 - 第18篇
悟纤学院
03-13 2万+
需求缘起 在访问/index页面,user用户不应该能够看到admin page的链接,针对这个问题可以通过sec:authorize标签进行控制。 一、标签sec:authorize使用 1.1 引入依赖 在pom.xml文件中添加依赖: <dependency> <groupId>org.th...
sec:authorize使用
chouxi8731的博客
09-03 6192
1、在.html页面引入spring security的命名空间 <html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http:...
spring security进级篇 V 自定义标签控制显示
04-04
NULL 博文链接:https://gaojiewyh.iteye.com/blog/1501470
sec:authorize=“hasAnyAuthority(‘/admin/all‘)“不管用
hdjag的博客
01-12 420
sec:authorize="hasAnyAuthority('/admin/all')"不管用
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 4970
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
spring_secrity
StrutsFamily的专栏
02-13 1598
Spring Security入门篇——标签sec:authorize使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-secu
SpringSecurity授权
HaiYun
07-02 651
SpringSecurity授权简介SpringSecurity 授权内置权限表达式URL安全表达式在web安全表达式引用自定义Bean授权Method安全表达式基于数据库的RBAC数据模型的权限控制RABC简介关联关系表结构实施页面标签的权限控制 简介 上一篇博客讲述了SpringSecurity的用户认证,用户认证的目的是让系统知道是谁在访问系统。而这篇博客主要讲述SpringSecurity的另一个功能鉴权,也就是权限控制,目的是你能在系统做什么。 SpringSecurity 授权 内置权限表达式
springboot2.x版本后springsecuritysec:authorize等属性无法生效问题
hayhead的博客
09-14 448
springboot整合thymeleaf、springsecurity时,教学视频让我们引入如下依赖,然后sec:authorize等属性没有起作用 ps.教学视频的springboot版本为1.5.x <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</art
html页面security标签使用,Spring Security入门篇——标签sec:authorize使用
weixin_35799294的博客
06-08 1438
Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的Security共有三类标签authorize authentication accesscontrollist ,第三个标签不在这里研究前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:本文配置一、authorize对应的...
sec:authorize=“isAuthenticated()“关于导入Spring Security和thymeleaf整合包后sec标签无法显示问题
rmangsj的博客
11-19 547
首先命名空间问题 xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4" //或者是xmlns:sec="http://www.w3.org/1999/xhtml" 一定要记得看清楚sec和th。 第二个问题可能是导入依赖的版本号没有相互对应 <dependency> <groupId>o
关于因为springboot版本问题导致无法使用sec:authorize标签
m0_37938768的博客
11-25 688
在关于SpringSecurity的学习中关于 <div sec:authorize="isAuthenticated()"> <h2><span sec:authentication="name"></span>,您好,您的角色有 <span sec:authentication="principal.authorit...
sec:authorize怎么使用
06-10
使用 `sec:authorize` 标签需要在页面中引入 `xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"` 命名空间,然后可以使用如下方式进行授权: ```html <div sec:authorize="hasRole('ROLE_...
spring security如何使用sec:authorize="hasAnyAuthority('PRODUCT_DELETE')"标签 及其在方法上使用权限注解
taiguolaotu的博客
01-16 7293
废话不多说,直接上代码, 第一 我只从代码中粘贴了一部分, Configuration注解的作用,意思将给类交给spring容器管理(也可以说是被实例化) EnableWebSecurity的作用,开启spring security过滤器链 EnableGlobalMethodSecurity ,开启权限注解,首先加上此注解,我们的标签及其权限注解才可以使用 @Configuration @Ena...
Spring Security中<@security.authorize使用
xiaosongwahaha的博客
01-01 1710
系统使用Spring Security登录验证时会把用户的角色信息也带入,例如用户以管理员的帐号登录时角色为ROLE_ADMIN,这时可以利用 首先引入依赖          org.springframework.security          spring-security-taglibs          3.1.4.RELEASE    
SpringSecurity
ZgqJavaCSDN的博客
12-17 942
目录 11. SpringSecurity 11.1 SpringSecurity简介 11.2 实验环境搭建 1、新建springboot项目 2、导入静态资源 3、controller跳转 11.3 认识SpringSecurity 1、认证和授权 2、权限控制和注销 3、记住我功能 4、定制登录页 5、完整配置代码(SecurityConfig.java) 11. SpringSecurity 11.1 SpringSecurity简介 Spring 是一个非常流行和成功
SpringSecurity页面按钮权限控制
自知的博客
08-11 2932
页面按钮权限的控制,其实就是利用RBAC1权限控制和sec:authorize标签。 一、引入pom依赖 <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> 此处使用spring-boot-starter-parent:2
spring securitysec:authorize 失效
小生范
07-12 681
配好thymeleaf-extras-springsecurity5之后 thymeleaf页面使用sec:authorize="!isAuthenticated()"判断是否已经登录竟然失败了 没有反应,额,也不是没反应,这个包围的代码在浏览器是看不到了 <div sec:authorize="!isAuthenticated()"> <!--未登录--> <a href="/login" class="blog-user"> &l
使用 Vue 3 实现 基于身份的权限验证
pyjavan的博客
07-12 447
还不全面,后续会在补充
Spring Security --- authorizeRequests配置
汤键的博客
04-13 3110
Spring Security --- authorizeRequests配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值