实现授权精确控制的方法
精确的授权指的是基于用户特定的请求进行授权的应用功能特性。不同于我们在第二章:Spring Security起步、第三章增强用户体验和第四章凭证安全存储中的粗粒度的授权,精确的授权一般指的是对页面中的部分进行选择性显示的功能,而不是限制访问一个完整的页面。现实世界中的应用将会花费可观的时间用在规划精确授权的细节上。
Spring
Security为我们提供了两种方式来实现选择性显示的功能:
l Spring Security的JSP标签库允许通过标准的JSP标签库语法在页面本身添加条件访问声明;
l 在MVC应用的控制层,检查用户的授权从而使得控制层做出能否访问的判断并将决定的结果绑定到模型数据提供给视图层。 这种方式依赖于标准的JSTL条件实现界面渲染和数据绑定,这种方式比Spring Security JSP标签库复杂一些,但是,它与标准的web应用MVC逻辑设计更吻合。
在开发精确控制授权的web应用时,这两种方法都能很好的实现功能。让我们通过JBCP Pets用例来介绍没种方法的实现。
我们希望使用安全规划的结果来保证在网站范围内的菜单栏上“退出”和“我的订单”链接只能对登录过的或已购买的用户(分别为ROLE_USER和ROLE_CUSTOMER)显示。我们还会保证“登录”链接只对浏览站点的未认证访客(不具备ROLE_USER的用户)可见。我们将会介绍这两种添加该功能的方式,首先从Spring Security的JSP标签库开始。
使用Spring Security的标签库有选择地渲染内容
我们在第三章中见到过,可以使用Spring
Security的标签库访问存在于Authentication对象中的数据,这里我们将会见识到标签库的一些其它强大功能。Spring Security标签库最常用的功能就是基于授权规则有条件地渲染页面的各部分。这是通过<authorize>标签来实现的,它与JSTL核心库的<if>标签类似,在标签体中的内容是否显示由标签属性的条件结果来确定。让我们使用<authorize>标签按条件显示页面的部分。
基于URL访问规则进行有条件渲染
Spring Security的标签库提供了按照已有的URL授权规则进行内容渲染的功能,而URL授权规则已经在应用安全的配置文件中进行了定义。这是通过使用<authorize>标签的<url>属性来达到的。
例如,我们要保证“My Account”链接只能对实际登录站点的用户显示——回忆一下我们在前面定义的如下访问规则:
<intercept-url pattern="/account/*.do"
access="hasRole('ROLE_USER') and fullyAuthenticated"/>
所以,JSP中条件显示“My
Account”链接的代码如下所示:
<sec:authorize url="/account/home.do">
<c:url value="/account/home.do" var="accountUrl"/>
<li><a href="${accountUrl}">My Account</a></li>
</sec:authorize>
这能够保证除非用户拥有足够的权限来访问指定的URL,否则tag中的内容不会显示。还可以通过HTTP方法实现更高质量的检查,这要通过method属性来设置。
<sec:authorize url="/account/home.do" method="GET">
<c:url value="/account/home.do" var="accountUrl"/>
<li><a href="${accountUrl}">My Account</a> (with 'url' attr)</li>
</sec:authorize>
使用url属性对代码块定义授权检查的方法是很方便的,因为它对JSP中的实际授权检查进行了抽象并将其保存在安全配置文件中。
【注意的是,HTTP方法应该与<intercept-url>安全声明中的一致,否则它们将不会按照你预期的进行匹配。另外,注意URL应该是对于web应用上下文根的相对路径(如同URL访问规则一样)。】
对于很多场景来说,使用<authorize>标签能够保证只有用户允许看见的前提下,正确地渲染链接或action相关的内容。需要记住的是,这个标签不仅能够包在一个链接外面,如果用户没有权限提交这个form的时候,它还能包在整个form外边。
基于Spring 表达式语言进行有条件渲染
另外,可以联合使用<authorize>标签和Spring表达式语言(SpEL)更灵活地显示JSP内容。
回忆一下在第二章中我们初次体验SpEL提供的强大表达式语言,Spring
Security对其进行了更强的扩展,从而能够对当前安全的请求构建表达式。如果我们对前面的例子使用SpEL进行重构的话,在<authorize>标签中限制访问“My Account”链接的代码应该如下:
<sec:authorize access="hasRole('ROLE_USER') and fullyAuthenticated">
<c:url value="/account/home.do" var="accountUrl"/>
<li><a href="${accountUrl}">My Account</a> (with 'access' attr)</li>
</sec:authorize>
对SpEL进行求值计算的代码与<intercept-url>所定义的访问规则(假设配置了表达式)背后所使用的代码是一样的。所以,同样的内置函数和属性在<authorize>标签中都是可以通过表达式使用的。
以上的两种使用<authorize>的方式都可以实现基于安全授权规则对页面显示内容进行精确控制渲染的强大功能。
使用Spring Security2的方式进行有条件渲染
以上提到的两种使用Spring
Security标签库的方法实际上是Spring Security3新增的功能,并且这也是按照授权规则实现页面级安全的推荐方法;但是,同样是<authorize>标签支持其他的操作方法,这可能会在遗留代码中遇到,也可能在一定场景下,这样的方式能够更好的满足你的需求。
基于缺失某角色有条件显示内容
“Log In”链接应该只能对匿名的用户显示,也就是没有ROLE_USER角色的用户。<authorize>标签通过ifNotGranted属性支持这种类型的规则:
<sec:authorize ifNotGranted="ROLE_USER">
<c:url value="/login.do" var="loginUrl"/>
<li><a href="${loginUrl}">Log In</a></li>
</sec:authorize>
如果你现在以匿名用户试图访问站点,将会看到一个指向登录form的链接。
基于拥有列表中的某一个角色有条件显示内容
如同上一步那样,“Log
Out”链接应该对拥有账号且已经登录的用户进行显示。ifAnyGranted属性在渲染内容前,要求用户拥有几个特定角色中的任何一个。我们用“Log Out”链接的方式来展示其使用:
<sec:authorize ifAnyGranted="ROLE_USER">
<c:url value="/logout" var="logoutUrl"/>
<li><a href="${logoutUrl}">Log Out</a></li>
</sec:authorize>
注意的是ifAnyGranted属性允许是以逗号分隔的角色集合来确定适当的匹配结果,用户只需要拥有角色中的任意一个标签中的内容就会渲染。
基于拥有列表中的所有个角色有条件显示内容
最后,使用ifAllGranted属性要求用户拥有标签中定义的所有角色:
<sec:authorize ifAllGranted="ROLE_USER,ROLE_CUSTOMER">
<c:url value="/account/orders.do" var="ordersUrl"/>
<li><a href="${ordersUrl}">My Orders</a></li>
</sec:authorize>
我们能够看到authorize标签的多种语法,以在不同的环境下使用。注意的是我们在前面讲到的三个属性可以组合使用。如ifNotGranted和ifAnyGranted属性能够联合使用以提供稍微复杂的Boolean等式。
使用JSP表达式
以上的三种页面授权方法((ifNotGranted,ifAnyGranted,
ifAllGranted)支持JSP EL表达式,它将会执行并返回授权的GrantedAuthority(角色等)。如果授权要求的列表会根据页面计算结果而变化的话,这将会提供一定的灵活性。
分享到:
相关推荐
**实现授权精确控制的方法** - **标签库**:使用Spring Security提供的标签库来动态显示或隐藏页面元素。 - **控制器逻辑**:在控制器层根据用户权限决定是否展示特定内容。 - **业务层保护**:通过方法级的安全...
2. 用户权限控制:由于论文系统的特殊性,通常需要对用户角色进行精确控制,比如区分普通用户、作者、审稿人、管理员等不同权限。这可能需要使用到Spring Security或Shiro等安全框架。 3. 服务接口设计:为了满足...
内容概要:本文详细介绍了如何利用LTspice进行LDO(低压差线性稳压器)电源电路的仿真。首先讲解了如何导入LDO模型并配置仿真环境,接着深入探讨了瞬态分析、相位裕度、电源抑制比(PSRR)等关键仿真的具体步骤和注意事项。文中提供了多个实用的操作技巧,如通过调整补偿电容优化相位裕度,以及使用.step param命令批量测试不同参数的影响。此外,还分享了一些常见的仿真误区及其解决方法,帮助读者更好地理解和掌握LDO的设计与调试。 适合人群:电子工程专业学生、电源电路设计初学者、希望深入了解LDO特性的工程师。 使用场景及目标:适用于希望通过仿真工具提高LDO设计技能的人群。主要目标是掌握LDO的基本工作原理,学会使用LTspice进行各种类型的仿真分析,从而优化电路设计,确保系统的稳定性和性能。 其他说明:文章不仅提供详细的仿真步骤和技术细节,还附带了作者的实际经验和常见问题解决方案,使读者能够在实践中不断改进自己的设计思路。
渝安集团员工职业发展通道设计方案.ppt
内容概要:本文详细介绍了新能源电动汽车中VCU(整车控制器)和BMS(电池管理系统)的HIL(硬件在环)仿真技术。首先阐述了整车建模的基础,包括电池、电机等关键部件的建模要点。接着分别解析了驾驶员模块、仪表模块、BCU整车控制器模块、MCU电机模块、TCU变速箱模块、BMS电池管理模块等多个子模块的功能和实现方式。最后强调了HIL仿真在电动汽车控制系统测试和优化中的重要性,特别是在降低成本和风险方面的作用。 适合人群:从事新能源汽车研发的技术人员,尤其是专注于VCU和BMS领域的工程师。 使用场景及目标:适用于需要深入了解电动汽车控制系统仿真技术的研发团队,在产品开发初期进行系统测试和优化,确保各子系统间的协同工作正常。 其他说明:文中提供了大量代码示例,帮助读者更好地理解和实践相关概念和技术细节。此外,还分享了一些实际项目中的经验和教训,如故障注入测试的具体应用场景等。
如何应对一线人员春节后的离职潮
线性代数
离职面谈表.xls
聚宽对接qmt大礼包,配备需要的全部软件:python3.9版本,qmt模拟安装包,pycharm安装包,talib包
试用期转正表.xls
招聘数据分析.xls
如何让新员工快速融入团队
内容概要:本文详细介绍了并离网逆变器的两种主要控制策略——PQ控制和V/f控制,以及无功能量发生器(SVG)和有源电力滤波器(APF)的仿真模型。对于PQ控制,文章展示了如何将功率指令转化为电流指令,并强调了电网电压定向和限幅处理的重要性。V/f控制则用于离网模式,通过调节电压和频率来维持系统的稳定。SVG主要用于无功补偿,通过实时计算无功需求进行补偿。APF则专注于谐波检测和消除,利用自适应滤波器提高效率。此外,文中还提供了多个实用的小技巧,如仿真步长设置、模式切换时的前馈补偿等。 适合人群:从事电力电子仿真研究的技术人员,尤其是对逆变器控制策略感兴趣的工程师。 使用场景及目标:适用于需要深入理解和实现逆变器控制策略的研究项目,帮助工程师优化仿真模型,提升系统性能,确保仿真结果的准确性。 其他说明:文章不仅提供了详细的代码片段,还分享了许多实践经验,有助于读者避免常见错误,提高仿真成功率。
内容概要:本文详细介绍了如何利用Carsim与Simulink进行联合仿真,通过线性二自由度模型和卡尔曼滤波(KF)来估计车辆的质心侧偏角和横摆角速度。首先搭建了联合仿真框架,Carsim提供车辆状态量,Simulink负责算法处理。文中展示了线性二自由度模型的状态方程及其参数设定,并深入探讨了KF的两种实现方式:S函数编程和Simulink内置模块。对于S函数实现,着重讲解了状态转移矩阵的动态更新以及噪声矩阵Q的调整策略,确保模型能够适应车速变化。而对于内置模块,则指出了其在灵活性方面的不足之处。此外,还讨论了联合仿真的配置要点,如数据接口同步、采样时间和信号处理等问题。 适合人群:从事车辆动力学研究、控制理论应用、自动化控制领域的工程师和技术人员。 使用场景及目标:适用于需要精确估计车辆质心侧偏角和横摆角速度的研究和开发项目,特别是在涉及ESP等主动安全系统的开发过程中。目标是提高估计精度,增强系统的鲁棒性和响应速度。 其他说明:文章提供了详细的代码片段和实践经验分享,帮助读者更好地理解和实施相关技术。建议在实际应用中根据具体需求选择合适的KF实现方式,并注意处理各种边界条件和异常情况。
档案管理[03]
内容概要:本文详细介绍了风电与储能联合调频系统的原理及其优化方法。首先解释了风电输出功率的波动性和对电网频率的影响,提出储能系统作为解决方案。文中展示了如何用Python生成风速数据并构建调频控制系统,重点讨论了PID控制器的设计以及SOC(荷电状态)管理策略。此外,还探讨了调频控制逻辑、硬件在环测试、风电功率预测模型(如LSTM)、调频效果验证方法及储能系统的物理限制等问题。最后强调了模型验证的重要性,提出了异常数据注入测试的方法。 适合人群:从事电力系统自动化、新能源发电及储能技术研发的专业人士,尤其是有一定编程基础的研究人员和技术工程师。 使用场景及目标:适用于需要理解和实施风电与储能联合调频项目的团队。主要目标是提高电网稳定性,减少风电波动带来的负面影响,同时延长储能系统的使用寿命。 其他说明:文中提供了大量实用的Python代码示例,涵盖了从数据生成到控制逻辑实现再到模型验证的全过程。对于希望深入理解风储调频系统的工作机制和技术挑战的人来说,是一份非常有价值的参考资料。
HCIA-Storage V4.5 培训教材 合集
内容概要:本文详细介绍了利用西门子S7-1200系列PLC和博途V15软件平台构建的小车自动往返控制系统。首先进行硬件组态,选择合适的CPU并配置输入输出点位,确保限位开关和急停按钮的有效接入。接着编写梯形图逻辑,实现小车在AB两点间的精确控制,采用定时器互锁机制避免电机损坏。然后设计触摸屏界面,通过WinCC创建动画效果展示小车运动状态,并设置按钮操作实现手动与自动模式切换。最后进行联合仿真实验,解决常见错误如变量地址配置不当等问题,确保系统稳定运行。 适合人群:工业自动化领域的工程师和技术人员,尤其是对PLC编程和HMI设计有一定基础的学习者。 使用场景及目标:适用于需要掌握PLC控制系统设计全流程的专业人士,帮助他们理解如何整合硬件组态、梯形图编程以及HMI开发,最终完成一个完整的自动化工程项目。 其他说明:文中提供了详细的调试经验和技巧,附带74分钟的操作录像资料,有助于读者更好地理解和实践相关知识点。
公司员工关怀工作清单
内容概要:本文详细介绍了如何利用ANSYS/LS-DYNA进行多孔延时起爆和重复起爆的仿真。首先强调了起爆点的时间线控制和材料参数设置的重要性,如使用*INITIAL_DETONATION关键字设定起爆时间和坐标,以及配置JWL方程等材料属性。接着讨论了重复起爆的具体实现方式,包括使用*CONTROL_TERMINATION配合重启动功能,确保起爆点的正确复用。此外,文章还提供了调试技巧,如检查起爆同步性和优化时间步控制,以确保仿真的准确性。最后,分享了一些实际应用中的经验和常见错误,帮助用户更好地理解和掌握这一复杂的技术。 适合人群:从事爆炸力学研究和爆破工程设计的专业人士,尤其是有一定ANSYS/LS-DYNA使用经验的工程师。 使用场景及目标:适用于需要精确控制多个起爆点时间延迟和多次起爆的应用场合,如矿山开采、隧道挖掘等领域的爆破作业仿真。目标是提高爆破效率,减少对周围环境的影响。 其他说明:文中提到的许多技术细节对于初学者来说可能会有一定的难度,因此建议从简单的单孔起爆开始练习,逐步掌握复杂的多孔延时和重复起爆技术。同时,保持良好的注释习惯有助于追踪参数修改历史,便于后续调试和维护。