`
kong0itey
  • 浏览: 306046 次
社区版块
存档分类
最新评论

《Spring Security3》第五章第二部分翻译下(实现授权精确控制的方法——页面级权限)(转载)

阅读更多

 

使用控制器逻辑进行有条件渲染内容

 

          现在,让我们将刚刚用 <authorize> 标签实现的例子改成用 java 代码的方式。为了简洁起见,我们只实现一个例子,但实现基于控制器检查的其它例子是很简单直接的。

添加有条件显示的 Log In 链接

         为了替代 Spring Security <authorize> 标签,我们假设在模型数据中有一个 Boolean 变量来标示是否显示显示“ Log in ”链接,而这个变量可以在视图上得到。在传统的 MVC 模式下,视图不了解模型为何拥有这个值,它只需要使用即可。我们使用 Java Standard Tag Library (JSTL) if 标签,连同 JSP EL 表达式来实现有条件显示页面的部分。

 

Html代码  收藏代码
  1. < c:if   test = "${showLoginLink}" >   
  2.   < c:url   value = "/login.do"   var = "loginUrl" />   
  3.   < li > < a   href = "${loginUrl}" > Log In </ a > </ li >   
  4. </ c:if >   

 现在看一下如下的代码以了解我们如何在控制器中将数据填充到模型中。

基于用户的凭证提供模型数据

         我们控制器的对象模型是符合面向对象模式的,所有的 Spring MVC 控制器扩展自一个简单的基类 com.packtpub.springsecurity.web.controller.BaseController 。这使得我们能够将通用的代码放在 BaseController 中,从而应用中所有的控制器都能够访问。首先,我们加入一个方法以从当前的 request 中得到 Authentication 的实现类:

 

Java代码  收藏代码
  1. protected  Authentication getAuthentication() {  
  2.   return  SecurityContextHolder.getContext().getAuthentication();   
  3. }  

 接下类,我们添加一个方法 填充 showLoginLink 模型数据,此处使用 Spring MVC 的注解方式。

 

Java代码  收藏代码
  1. @ModelAttribute ( "showLoginLink" )  
  2. public   boolean  getShowLoginLink() {  
  3.   for  (GrantedAuthority authority : getAuthentication().  
  4. getAuthorities()) {  
  5.     if (authority.getAuthority().equals( "ROLE_USER" )) {  
  6.       return   false ;  
  7.     }    
  8.   }  
  9.   return   true ;  
  10. }  

 这个方法添加了 @ModelAttribute 注解,任何实现 BaseController 的控制器触发时, Spring MVC 将会自动执行此方法。针对 authorize 标签方式的其它显示 / 隐藏功能,我们能够很简单地使用模型数据指令重复这种设计模式。

配置页面内授权的最好方式是什么?

         与以前版本的标签库相比, Spring Security 3 <authorize> 标签的主要优势在于移除了很多使用中的困扰之处。在很多场景下,使用标签的 url 属性隔离了授权规则变化对 JSP 代码的影响。可以在以下场景下使用 url 属性:

l 标签限制显示的功能能够通过一个简单 url 明确的声明;

l 标签的内容能够明确的与 URL 隔离。

但是在典型的应用中,使用标签 url 属性的可能性会很低。现实情况下应用会比这个复杂的多,需要更多的相关逻辑才能确定如何渲染页面的各部分。

尽管使用 Spring Security 标签库来声明渲染页面部分的方法很诱人,这种方式基于 sping 的语法以及一些其它的方式(包括 if...Granted access 方法),但是有很多情况下使用它并不是一个好主意:

l  Tag 标签并不支持比角色成员更复杂的条件。例如,如果我们的应用的 UserDetails 实现包含了自定义的属性,如 IP 过滤、地理位置等,这些情况使用标准的 <authorize> 都不能支持。

但是,这些可以通过自定义的 JSP 标签或使用 SpEL 表达式来支持。即使如此, JSP 也会直接绑定业务逻辑,而这并不是推荐做法。

l  <authorize> 标签必须在每一个使用的页面中引用。这可能会导致本来通用的规则产生潜在的不一致性,而这会在不同的物理界面文件中存在。好的面向对象系统设计建议条件规则只在一个地方存在,并在使用的地方对其进行引用。

可以通过封装并且重用 JSP 页面的部分来减少这类问题的发生(我们通过使用通用的 JSP 头文件已经对此进行了阐述),但是在一个复杂的应用中这个问题在所难免。

l  不能在编译阶段校验规则的正确性。编译期常量能够在典型的基于 java 对象系统中使用, JSP tag 标签需要(典型情况下)硬编码角色名字,而简单的拼写错误很难被察觉。

公平来讲,这样的拼写错误能够很容易地在运行应用的功能测试中发现,但是使用标准的 Java 组件单元测试这样的问题更容易被发现。

         我们可以看到,尽管基于 JSP 方式的内容有条件渲染很便利,但是也有一些明显的不足。

        

         所有的这些问题都能够通过在控制器中使用代码推送数据到视图层来解决。另外,在代码中进行高级的授权决定能够享受到重用、编译器检查以及适当分离模型、视图、控制器所带来的好处。

分享到:
评论

相关推荐

    springboot springsecurity动态权限控制

    在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...

    spring security实现动态授权

    5. **权限表达式**:使用Spring Security的`ExpressionBasedAccessDecisionManager`结合`SpEL (Spring Expression Language)`,可以在URL、方法等安全元数据上定义权限表达式。 6. **配置SecurityConfig**:在...

    Spring Security如何使用URL地址进行权限控制

    Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...

    Spring Security3中文文档

    这里讲解了如何实现精细的权限控制,包括页面级权限的实现、业务层的安全保护以及方法级别的安全控制。这部分内容对于构建高度安全的应用程序至关重要。 ### 第六章:自定义安全组件 本章重点在于如何自定义Spring...

    spring security 2.0 的简单配置使用(补)——用aop控制method级权限

    在本文中,我们将深入探讨如何在Spring Security 2.0版本中配置并使用AOP(面向切面编程)来实现方法级别的权限控制。首先,我们需要理解Spring Security的基础概念。 1. **Spring Security基本架构** Spring ...

    《Spring Security3》第二章第三部分翻译(下)附前两章doc文档

    《Spring Security3》第二章第三部分的翻译下篇主要涵盖了Spring Security的核心概念和技术,这部分内容是深入理解Spring Security架构和实现安全控制的关键。在本章节中,我们将详细探讨以下几个核心知识点: 1. *...

    SpringSecurity+OAuth2+JWT分布式权限控制.zip

    综上所述,这个项目展示了如何将Spring Security、OAuth2和JWT结合起来,实现一个完整的分布式权限控制系统。开发者可以从中学习到如何配置Spring Security来处理认证和授权,如何使用OAuth2来管理用户授权,以及...

    spring Security3中文教程,经典的

    - **保护业务层**:不仅页面访问需要权限控制,业务逻辑中的方法调用也应受到保护,避免未授权访问。 #### 六、高级配置和扩展 - **实现一个自定义的安全过滤器**:开发者可以自定义过滤器,例如基于IP地址的访问...

    Spring Security+OAuth2 精讲,打造企业级认证与授权

    本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring Security是Spring生态系统中的一个强大安全框架,它提供了...

    Spring security认证授权

    Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...

    spring security权限控制

    在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来理解其核心概念。 首先,Spring Security 的权限控制主要涉及以下几个关键组件: 1. **认证...

    Spring Security 资料合集

    这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...

    SpringBoot集成Spring Security实现权限控制【完整源码+数据库】

    SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...

    spring boot +spring security+thymeleaf实现权限

    在本文中,我们将深入探讨如何使用Spring Boot、Spring Security和Thymeleaf这三个强大的Java技术栈组件来实现一个全面的权限管理系统,同时涵盖Remember-Me功能。Spring Boot简化了Spring应用的开发,Spring ...

    Spring Security 权限控制中文API

    5. **权限服务(Permission Service)**:对于复杂的权限控制,Spring Security 提供了PermissionEvaluator接口,允许自定义权限评估逻辑。例如,你可能需要检查用户是否具有删除某个文件的权限。 6. **会话管理...

    Spring Security in Action

    Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...

    spring3中增加 spring security控制权限

    本篇文章将深入探讨如何在Spring 3中整合Spring Security来实现权限控制,以保护你的应用程序免受非法访问。 首先,我们需要理解Spring Security的核心概念。它主要由四个部分组成:认证(Authentication)、授权...

    SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证

    总结来说,本项目展示了如何利用SpringBoot、SpringSecurity和JPA在IntelliJ IDEA环境下构建一个完整的用户角色权限管理系统,通过security.sql和security-jpa这两个关键组件,实现了数据初始化和核心业务逻辑的构建...

    spring security3动态权限

    struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不...

    spring security3 中文版本

    自此之后,Spring Security 成为了 Spring 生态系统中的一个重要组成部分,不断迭代更新,以适应不断变化的安全需求和技术发展。 ##### 1.3 发行版本号 Spring Security 3.0.1 是在 Spring Security 3.0 的基础上...

Global site tag (gtag.js) - Google Analytics