Springsecurity在jsp中进行权限控制的踩坑记

    注:Springsecurity的版本是4.2.4.RELEASE.

    项目中有这样的需求,想让jsp页面的某些链接、按钮等只让高权限的用户看到,使用的是Springsecurity的jsp tag.

1、jsp页面

    如下List-1.1所示,想要达到的效果是只有当用户有角色role2时才能看到"高权限的用户可见!"这段内容。

List-1.1

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<html>
<head>
    <title>xxx</title>
</head>
<body>

<sec:authorize access="hasRole('role2')">
    高权限的用户可见!
</sec:authorize>

.......

2、项目中要引入jsp tag的依赖

List-2.1

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>4.2.4.RELEASE</version>
</dependency>

3、xml配置    

    要设置expressionHandler,且将defaultRolePrefix设置为"",为什么呢?这要深入源码层。

List-3.1

<security:http entry-point-ref="xx" use-expressions="true">
    ...
    <security:expression-handler ref="expressionHandler"/>
    ...
</security:http>

<bean id="expressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
    <!--有意的设置为""-->
    <property name="defaultRolePrefix" value=""/>
</bean>
...

    DefaultWebSecurityExpressionHandler中,defaultRolePrefix的值是ROLE_,如果defaultRolePrefix的值不为null或者"",那么SecurityExpressionRoot的方法getRoleWithDefaultPrefix中,会把defaultRolePreix加上作为前缀来使用。

    我就是不知道这点,所以弄了半天发现没有生效,后来进入源码才明白的!

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券