Spring Security入门篇——标签sec:authorize的使用
Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的
Security共有三类标签authorize authentication accesscontrollist ,第三个标签不在这里研究
前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面加入:<%@ taglib prefix=”sec” uri=”http://www.springframework.org/security/tags” %>
本文配置
一、authorize
对应的类: org.springframework.security.taglibs.authz.AuthorizeTag
attribute: access url method ifNotGranted ifAllGranted ifAnyGranted
使用方式:见SimpleDemo的index.jsp
#这里可以用逗号分隔,加入多个角色
你拥有管理员权限,你可以查看 该页面管理员进入
你登陆成功了可以看到 这个页面
页面标签的使用与权限配置相对应
对比可以看到只有ROLE_ADMIN角色的用户才能访问admin.jsp,通过认证的用户都可以访问profile.jsp
从标签源码可以知道,authorize标签判断顺序是: access->url->ifNotGranted->ifAllGranted->ifAnyGranted 但他们的关系是“与”: 即只要其中任何一个属性不满足则该标签中间的内容将不会显示给用户,举个例子:
满足才会显示给用户
标签中间的内容只有在当前用户拥有ADMIN,MEMBER角色,但不拥有SUPER权限时才会显示
access属性是基于角色判断,url属性是基于访问路径判断,与security.xml配置对应
对于ifAllGranted ,ifNotGranted,ifAnyGranted属性的理解可以与集合api类比
Collection grantedAuths :当前用户拥有的权限
Collection requiredAuths : 当前要求的权限,即ifAllGranted ,ifNotGranted,ifAnyGranted 属性的值
满足ifAllGranted: 只需要grantedAuths.containsAll(requiredAuths);返回true即可
满足ifAnyGranted: 只需要grantedAuths.retainAll(requiredAuths);有内容即可(两集合有交集)
满足ifNotGranted:与Any相反,如果没有交集即可
二、authentication
对应的类: org.springframework.security.taglibs.authz.AuthenticationTag
attribute: property(required) var htmlEscape scope
使用方式:
主要用来显示authentication属性,
var scope: 将property的值以var设置到scope域中
htmlEscape: 将特殊字符转义 > –> “>”
最新文章
- [原] KVM虚拟机网络闪断分析
- text-decoration
- html转义字符
- 设计一个较好的框架的难点之一--API兼容性的设计
- SQL2000/2005字符串拆分为列表通用函数
- zip ubuntu使用
- BZOJ3174 Tjoi2013 拯救小矮人(贪心+DP)
- 【读书笔记《Android游戏编程之从零开始》】15.游戏开发基础(剪切区域)
- linux4
- input value的值不可改变
- ASP实现用年月日时分秒和两位随机数字来作为上传文件名的函数
- Linux_cloudera-scm-agent: unrecognized service
- veridata实验例(5)在更改主键列值,update操作将被分成两个语句
- servlet+jsp+jdbc实现从数据库查询用户信息到页面
- redis在windows和Linux系统下的下载、安装、配置
- Java开发笔记(四十三)更好用的本地日期时间
- Nginx 作用
- java操作elasticsearch实现query String
- Ajax+Struts2用户注册功能实现
- AlarmManager的使用和七牛云android SDK上传图片