Spring Security3 页面 权限标签

 

应用标签库：<%@ taglib prefix='security' uri='http://www.springframework.org/security/tags' %>


<security:authorize>是一个流程控制标签，能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数：

ifAllGranted——是一个由逗号分隔的权限列表，用户必须拥有所有列出的权限时显示；

ifAnyGranted——是一个由逗号分隔的权限列表，用户必须至少拥有其中的一个权限时才能显示；

ifNotGranted——是一个由逗号分隔的权限列表，用户未拥有所有列出的权限时才能显示。

<security:authentication>获得属性的值比如要获得用户名可以这么写：
<security:authentication property="principal.username"></security:authentication>
他有三个属性，property是必须的，另外scope和var，var定义一个变量，scope定义var存在的范围

例子：

有时需要在页面显示用户名，或者根据用户角色显示或者不显示一些内容。这需要使用到spring security提供的标签库。

在页面中引入标签库：

 

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

使用标签库的示例：

<sec:authentication property="principal" var="authentication"/>
<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
用户名：${authentication.username }<br />

前台 ROLE_ANONYMOUS表示匿名用户

在配置文件中可以设置页面进入的权限

<intercept-url pattern="/Homepage.*" access="ROLE_ADMIN,IS_AUTHENTICATED_ANONYMOUSLY"/>

IS_AUTHENTICATED_ANONYMOUSLY允许匿名用户进入

IS_AUTHENTICATED_FULLY 允许登录用户进入

IS_AUTHENTICATED_REMEMBERED 允许登录用户和rememberMe用户进入

IS_AUTHENTICATED_FULLY：是则满足以下情况返回通过:
**.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例
IS_AUTHENTICATED_REMEMBERED：是则满足以下任一情况返回通过:
a*.Authentication是RememberMeAuthenticationToken的实例
b*.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例
IS_AUTHENTICATED_ANONYMOUSLY：是则满足以下任一情况返回通过:
a*.Authentication是AnonymousAuthenticationToken的实例
b*.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例
c*.Authentication是RememberMeAuthenticationToken的实例

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/superhanliu/archive/2007/08/16/1746054.aspx

评论

6 楼 daichangfu 2012-11-27  

5 楼 leon.s.kennedy 2012-04-27  

hehch 写道

leon.s.kennedy 写道

hehch 写道

leon.s.kennedy 写道

博主您好
请问<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
其中角色ROLE_USER 是写死的（硬编码）
系统角色是可以维护的，请问该如何实现？

以前想过，spring提供的好像不行的，写自定义标签试试

博主试过吗？请问自定义要如何实现呢？能给个思路吗？谢谢
ss3标签源码看了一点，不过没看懂
求指点。。

1，写jsp自定义标签，标签体里是填写需要控制的根据当前用户权限是否显示的内容（对应的就是一个url）
2，写相应的tld文件和标签类
3，标签类控制：
   1）获取当前用户角色拥有的资源
   2）获取标签体中需要控制的url
   3）匹配，有则说明有权限，显示内容；无则说明无权限，屏蔽内容

谢谢。
这算不算是ss3.0的一个BUG呢
不知3.1修复了没有

4 楼 hehch 2012-04-27  

leon.s.kennedy 写道

hehch 写道

leon.s.kennedy 写道

博主您好
请问<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
其中角色ROLE_USER 是写死的（硬编码）
系统角色是可以维护的，请问该如何实现？

以前想过，spring提供的好像不行的，写自定义标签试试

博主试过吗？请问自定义要如何实现呢？能给个思路吗？谢谢
ss3标签源码看了一点，不过没看懂
求指点。。

1，写jsp自定义标签，标签体里是填写需要控制的根据当前用户权限是否显示的内容（对应的就是一个url）
2，写相应的tld文件和标签类
3，标签类控制：
   1）获取当前用户角色拥有的资源
   2）获取标签体中需要控制的url
   3）匹配，有则说明有权限，显示内容；无则说明无权限，屏蔽内容

3 楼 leon.s.kennedy 2012-04-27  

hehch 写道

leon.s.kennedy 写道

博主您好
请问<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
其中角色ROLE_USER 是写死的（硬编码）
系统角色是可以维护的，请问该如何实现？

以前想过，spring提供的好像不行的，写自定义标签试试

博主试过吗？请问自定义要如何实现呢？能给个思路吗？谢谢
ss3标签源码看了一点，不过没看懂
求指点。。

2 楼 hehch 2012-04-26  

leon.s.kennedy 写道

博主您好
请问<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
其中角色ROLE_USER 是写死的（硬编码）
系统角色是可以维护的，请问该如何实现？

以前想过，spring提供的好像不行的，写自定义标签试试

1 楼 leon.s.kennedy 2012-04-26  

博主您好
请问<sec:authorize ifAllGranted="ROLE_USER">可以访问</sec:authorize>
其中角色ROLE_USER 是写死的（硬编码）
系统角色是可以维护的，请问该如何实现？