首页 HTML / CSS XML技术 Java技术 脚本语言 前端技术 框架 数据库 高级语言 软件测试 开发工具 大数据 其他技术

Spring Security标签库显示视图

本教程介绍了如何保护视图层,基于已登录用户的角色,使用Spring Security标签来显示/隐藏 Spring MVC Web应用程序的JSP/视图。
完整的工程结构如下所示 - 

首先,为了使用Spring Security标签,我们需要在pom.xml中包括 spring-security-taglibs 标记库的依赖库,如下图所示:
<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>4.0.1.RELEASE</version>
		</dependency>
然后在下一步在 视图/JSP 包括这些标签库。如下代码所示 - 
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>

最后,我们就可以使用Spring Security表达式类似 hasRole,hasAnyRole 等。在视图中,如下图所示: 

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>Welcome page</title>
</head>
<body>
	Dear <strong>${user}</strong>, Welcome to Home Page.
	<a href="<c:url value="/logout" />">Logout</a>

	<br/>
	<br/>
	<div>
		<label>View all information| This part is visible to Everyone</label>
	</div>

	<br/>
	<div>
		<sec:authorize access="hasRole('ADMIN')">
			<label><a href="#">Edit this page</a> | This part is visible only to ADMIN</label>
		</sec:authorize>
	</div>

	<br/>
	<div>
		<sec:authorize access="hasRole('ADMIN') and hasRole('DBA')">
			<label><a href="#">Start backup</a> | This part is visible only to one who is both ADMIN & DBA</label>
		</sec:authorize>
	</div>
</html>
这里就是需要基于角色这个有选择地显示/隐藏视图片段,使用Spring Security表达式在视图中。
以下是用于这个例子的 Security 配置: 
package com.zaixian.springsecurity.configuration;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

	
	@Autowired
	public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().withUser("zaixian").password("123456").roles("USER");
		auth.inMemoryAuthentication().withUser("admin").password("123456").roles("ADMIN");
		auth.inMemoryAuthentication().withUser("dba").password("123456").roles("ADMIN","DBA");
	}
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
	  
	  http.authorizeRequests()
	  	.antMatchers("/", "/home").access("hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')")
	  	.and().formLogin().loginPage("/login")
	  	.usernameParameter("ssoId").passwordParameter("password")
	  	.and().exceptionHandling().accessDeniedPage("/Access_Denied");
	}
}
上面的安全配置基于XML配置格式如下所示: 
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-4.1.xsd
    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-4.0.xsd">
     
    <http auto-config="true" >
        <intercept-url pattern="/"     access="hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')" />
        <intercept-url pattern="/home" access="hasRole('USER') or hasRole('ADMIN') or hasRole('DBA')" />
        <form-login  login-page="/login" 
                     username-parameter="ssoId" 
                     password-parameter="password" 
                     authentication-failure-url="/Access_Denied" />
    </http>
 
    <authentication-manager >
        <authentication-provider>
            <user-service>
                <user name="zaixian"  password="123456"  authorities="ROLE_USER" />
                <user name="admin" password="123456" authorities="ROLE_ADMIN" />
                <user name="dba"   password="123456" authorities="ROLE_ADMIN,ROLE_DBA" />
            </user-service>
        </authentication-provider>
    </authentication-manager>
     
    
</beans:beans>

下面是控制器的完整代码,如下所示 - 

package com.zaixian.springsecurity.controller;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

@Controller
public class HelloWorldController {

	
	@RequestMapping(value = { "/", "/home" }, method = RequestMethod.GET)
	public String homePage(ModelMap model) {
		model.addAttribute("user", getPrincipal());
		return "welcome";
	}

	@RequestMapping(value = "/Access_Denied", method = RequestMethod.GET)
	public String accessDeniedPage(ModelMap model) {
		model.addAttribute("user", getPrincipal());
		return "accessDenied";
	}

	@RequestMapping(value = "/login", method = RequestMethod.GET)
	public String loginPage() {
		return "login";
	}

	@RequestMapping(value="/logout", method = RequestMethod.GET)
	public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();
		if (auth != null){    
			new SecurityContextLogoutHandler().logout(request, response, auth);
		}
		return "redirect:/login?logout";
	}

	private String getPrincipal(){
		String userName = null;
		Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

		if (principal instanceof UserDetails) {
			userName = ((UserDetails)principal).getUsername();
		} else {
			userName = principal.toString();
		}
		return userName;
	}

}
应用程序的其余部分代码和这个系列的其他教程文章是相同的。

部署和运行

如需要自己动手实践,可在文章底部提供的下载链接并点击下载本示例代码,这个项目的完整代码。它是在Servlet 3.0的容器(Tomcat7/8,本文章使用 Tomcat7)上构建和部署运行的。
打开您的浏览器,在地址栏中输入网址:http://localhost:8080/SpringSecurityTaglibs,默认的页面将显示(提示登录页面)如下 - 

提供用户登录凭据(用户名及密码),首先我们使用 zaixian 这个用户名登录如下所示 -

登录成功后可以看到,有限的信息显示页面上,如下图中所示 - 

现在点击注销,并使用管理员角色登录,所下图中所示 - 

提交登录成功后,你会看到使用ADMIN角色的操作访问,如下图中所示 - 

现在注销登录,然后使用 DBA 角色登录,如下图中所示 - 

提交登录成功后,你会看到与DBA角色相关的操作访问。

全部就这样(包教不包会)。下一篇教程文章将我们学习如何使用基于角色登录。这意味着可根据自己分配的角色,在登录成功后用户将重定向到不同的URL。

下载代码

参考


上一篇: Spring Security注销登录实例 下一篇: Spring Security基于角色登录实例

HTML / CSS

HTML 教程 HTML5 教程 CSS 教程 CSS3 教程 Bootstrap 教程 Bootstrap4 教程 HTML 字符集 AngularJS教程 ASP.NET BackboneJS教程 Django教程 Javascript教程 MVC框架教程 RESTful教程 SASS教程 Uploadify教程 WebGL教程 Wordpress教程 XML教程 Json教程 Makefile Node.js教程 Shell Socket编程 SVN教程 HTML DOM 教程 HTTP 教程 JavaScript 对象

脚本语言

TypeScript 教程 VBScript 教程 W3C 教程 JavaScript 教程 jQuery 教程 jQuery UI 教程 jQuery Mobile 教程 AngularJS 教程 jQuery EasyUI 教程 Highcharts 教程 ionic 教程 Google API 教程 Lua教程  NumPy教程  PHP7教程  PHP教程  Python3教程  Python并发编程教程 Python教程  Python数据结构  Python文本处理教程  Python设计模式  Python面向对象教程 Ruby教程  Scipy教程  Tcl教程  Tk教程  WxPython教程

高级语言

Assembly汇编  Awk教程  C#教程  C++教程  C++标准库教程  COBOL教程  C语言教程  C语言标准库  D语言教程  Erlang教程  Euphoria教程  Fortran教程  Go语言教程  Kotlin教程  Lisp教程  Matlab教程  Objective-C教程  Rust教程  Scala教程  Sed教程  Swift教程  VBA教程  ADO 教程 Android 教程 AppML 教程 ASP 教程 Markdown 教程 Perl 教程

Java技术

JSF教程 Servlet教程 Spring Web Services教程 Thymeleaf教程 C语言实例代码 Java代码实例 Java设计模式 Gradle教程 Gson教程 Guava教程 Hibernate教程 AWT 教程 EJB教程 iBATIS 教程 Jackson教程 JasperReports教程 Java教程 Java并发编程教程 Java密码学教程 Java数据类型教程 Java泛型教程 Java国际化(i18n)教程 Java输入/输出教程 Java多线程教程 Java NIO教程 Java面向对象设计 Java RMI远程方法调用教程 Java虚拟机教程

XML技术

AIML教程 DOM教程 DTD教程 WSDL教程 XML教程  XML-RPC远程方法调用教程 XPath教程 XQuery教程 XSLT教程  Haskell教程 管理信息系统(MIS)教程 HttpClient教程 物联网(IoT)教程 操作系统教程 PowerShell教程 Python网络编程 PyTorch教程 安全测试教程 软件测试教程 TestNG教程 Tika教程 Web Service教程 Websocket教程 XPath教程 XQuery教程 XSD教程 XStream教程

大数据

Elasticsearch教程 Hadoop教程 HBase教程 Hive教程 Kafka教程 Pandas教程 Python数据科学 R语言教程 Solr教程 Spark教程 Sqoop教程 ZooKeeper教程 数据挖掘 数据结构和算法教程 MyBatis教程 Spring AOP教程 Spring Batch教程 Spring Cloud教程 Spring MVC教程 Spring Boot教程 Spring Boot CLI教程 Spring JDBC教程 Spring Security教程 Struts2教程 Swing教程 Swing示例程序 Tableau教程 TensorFlow教程

开发工具

Eclipse教程 GitLab教程 IntelliJ IDEA教程 Nginx教程 Pycharm教程 Cordova教程 Meteor教程 .NET Core教程 ADO.Net教程 ASP.Net MVC教程 VB.Net教程 批处理教程 Vim教程 WCF教程 YAML教程 ECharts 教程 Eclipse 教程 Firebug 教程 Android教程 Drools教程 Excel教程 Gerrit教程 Git教程 iOS教程 UML Unix

框架

Docker教程 Flask教程 Laravel教程 Scrapy教程 Smarty教程 Yii2教程 Java XML教程 Java8教程 JavaFX教程 JavaMail API 教程 java.lang.reflect包教程 Java正则表达式教程 java.time包教程 java.util.zip包 JDBC教程 RSS 教程 XML Schema 教程 SOAP 教程 Unix/Linux系统调用 进程间通信教程 OpenCV教程 敏捷开发(Agile)教程 Dart语言教程 LinQ教程 Linux命令大全教程 Foundation 教程

软件测试

A/B测试教程 Jenkins教程 QC Selenium教程 Maven教程 Netty教程 PDFBox教程 Shiro教程 SLF4J教程 Spring教程 Ajax教程 ANT教程 Apache教程 Bash Shell教程 JFreeChart教程 测验 正则表达式 RDF 教程 React 教程 XLink 教程 XSLFO 教程 Angular2 教程 ASP.Net教程 C语言教程 Ajax教程 C++教程 C#教程

前端技术

Less教程 ReactJS教程 SVG教程 VueJS教程 JPA教程 JSoup教程 JSP教程 JUnit教程 Log4j教程 Lucene教程 Matplotlib教程 JIRA教程 JMeter教程 JOGL教程 Memcached教程 浏览器信息 Font Awesome 图标 区块链教程 CSS3 教程 Java设计模式 Django教程 Docker教程 DOM教程 DTD教程 Eclipse教程 Git教程

数据库

Access教程 Cassandra教程 CouchDB教程 DB2教程 FireBase教程 MariaDB教程 MongoDB教程 MySQL教程 OrientDB教程 PL/SQL教程 PostgreSQL教程 Redis教程 SQL Server教程 SQLite教程 SQL教程 Oracle教程 SQL Server教程 数据结构教程 数据库管理系统教程 Go语言教程 iOS 教程 Java教程 Json教程 JSP教程 Kotlin教程 Linux命令教程

其他技术

Memcached教程 MongoDB教程 MySQL教程 Node.js 教程 NumPy教程 PHP教程 PostgreSQL教程 Python教程 Python3教程 Redis教程 Ruby教程 Sass教程 Scala教程 Servlet教程 SQL简介 SQLite教程 SVG教程 SVN教程 Swift教程 VueJS教程 WSDL教程 XML教程 XPath教程 XQuery教程 XSLT教程 Lua教程 Maven教程
Copyright © 许虎虎 All Rights Reserved. 本站内容源于网络搜集,仅供学习和参考使用。