Springsecurity之jsp中url方式控制權限
注:Springsecurity版本是4.2.4.RELEASE。html
在jsp中使用has('role')的方式能夠看下個人這篇博客。java
1、引入maven依賴
List-1.1web
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>4.2.4.RELEASE</version>
</dependency>
2、xml配置
List-2.1spring
<bean id="webInvocationFilter"
class="org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator">
<constructor-arg ref="filterSecurityInterceptor"/>
</bean>
<security:http entry-point-ref="xx" use-expressions="true">
...
</security:http>
如List-2.1所示,單獨定義個DefaultWebInvocationPrivilegeEvaluator的bean就能夠了,將interceptor做爲構造函數的參數傳給它,Springsecurity會自動加載它,須要注意的是這個webInvocationFilter要放在security配置的最前面,否則會失效,至於爲何,如今還沒弄清楚。數據庫
3、jsp中使用標籤
List-3.1express
...
<body>
...
<sec:authorize url="/someUrl">
有權限的用戶才能看到這段話。
</sec:authorize>
...
</body>
...
我選擇使用url的方式而非has('role')的方式,理由:角色名稱、個數頗有可能會常常變更,若是咱們以has('role')的方式將role寫到了jsp中,那麼後面咱們修改角色時,頗有可能要去修改jsp中的角色;相反,若是以url的方式,那麼咱們只須要修改數據庫中url、role、用戶間的關係,不須要去關注是否要修改jsp中的權限。jsp
四、源碼分析
以下圖4.1所示,DefaultWebInvocationPrivilegeEvaluator的構造方法中須要AbstractSecurityInterceptor。maven
圖4.1ide
來看isAllowed方法,以下List-4.1所示:函數
List-4.1
public boolean isAllowed(String contextPath, String uri, String method,
Authentication authentication) {
Assert.notNull(uri, "uri parameter is required");
FilterInvocation fi = new FilterInvocation(contextPath, uri, method);
Collection<ConfigAttribute> attrs = securityInterceptor
.obtainSecurityMetadataSource().getAttributes(fi);
if (attrs == null) {
if (securityInterceptor.isRejectPublicInvocations()) {
return false;
}
return true;
}
if (authentication == null) {
return false;
}
try {
securityInterceptor.getAccessDecisionManager().decide(authentication, fi,
attrs);
}
catch (AccessDeniedException unauthorized) {
if (logger.isDebugEnabled()) {
logger.debug(fi.toString() + " denied for " + authentication.toString(),
unauthorized);
}
return false;
}
return true;
}
- 首先用securityInterceptor的SecurityMetadataSource獲取當前request對應的全部ConfigAttribute,即訪問當前request中的url須要哪些權限。
- 以後用securityInterceptor的AccessDecisionManager來決定當前用戶是否能夠訪問request中的url。
Reference
- Springsecurity-4.2.4.RELEASE源碼
- 1. SpringSecurity的HTTP權限控制
- 2. SpringSecurity的權限控制
- 3. Springsecurity在jsp中進行權限控制的踩坑記
- 4. SpringBoot+SpringSecurity+JWT實RESTfulAPI權限控制
- 5. SpringSecurity---細粒度的權限控制
- 6. SpringBoot整合SpringSecurity(五)權限控制
- 7. Gateway中使用SpringSecurity進行網關鑑權與權限控制
- 8. 權限控制方案之——基於URL攔截
- 9. SpringSecurity權限表達式
- 10. 19 動態URL權限控制
- 更多相關文章...
- • MySQL刪除用戶權限(REVOKE) - MySQL教程
- • Lua 流程控制 - Lua 教程
- • Docker容器實戰(六) - 容器的隔離與限制
- • SpringBoot中properties文件不能自動提示解決方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安裝和Hello,World編寫
- 2. 重磅解讀:K8s Cluster Autoscaler模塊及對應華爲雲插件Deep Dive
- 3. 鴻蒙學習筆記2(永不斷更)
- 4. static關鍵字 和構造代碼塊
- 5. JVM筆記
- 6. 無法啓動 C/C++ 語言服務器。IntelliSense 功能將被禁用。錯誤: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回碼狀態含義
- 8. Java樹形結構遞歸(以時間換空間)和非遞歸(以空間換時間)
- 9. 數據預處理---缺失值
- 10. 都要2021年了,現代C++有什麼值得我們學習的?