SSM--服务器端方法级权限控制、页面端权限控制

2023-11-13 12:58:57

介绍：

在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解，这三种注解默认都是没有启用的，需要单独通过global-method-security元素的对应属性进行启用

开启注解使用

@RolesAllowed（“ADMIN”）

表示访问对应方法时所应该具有的角色

示例： @RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省 略前缀ROLE_，实际的权限可能是ROLE_ADMIN

1、配置spring-mvc.xml

 <security:global-method-security jsr250-annotations="enabled"/>

2、在ProductController查找商品的方法上实验

/*查找商品*/
    @RolesAllowed("ADMIN")
    @RequestMapping("/findAll")
    public ModelAndView findAll(){
        ModelAndView mv=new ModelAndView();
        List<Product> products = productService.findAll();
         mv.addObject("productList",products);
         mv.setViewName("product-list");

        return mv;
    }

可以在web.xml中配置出现403错误时要跳转的页面

使用jsr250-annotations时可以把角色前面的ROLE_省略，使用下面的注解时角色前缀 ROLE _不能省略

@Secured(“ROLE_ADMIN”)

它不用导依赖

1、spring-mvc.xml

  <security:global-method-security secured-annotations="enabled"/>

2、在方法前使用

 /*插入商品*/
    @RequestMapping("/saveProduct")
    @Secured("ROLE_ADMIN")
    public String saveProduct(Product product){
        System.out.println(product);
        //调用方法插入
        productService.saveProduct(product);
        //插入后调到查找方法
        return "redirect:findAll";


    }

图示步骤：

支持表达式的注解@PreAuthorize

@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问

1、spring-mvc.xml

<security:global-method-security pre-post-annotations="enabled"/>

2、在方法前使用

 @RequestMapping("/findAll")
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public ModelAndView findAll(){
        ModelAndView mv=new ModelAndView();
        List<UserInfo> userInfoList=userService.findAll();
        mv.addObject("userList",userInfoList);
        mv.setViewName("user-list");
        return mv;

    }

    /*添加用户*/
    @RequestMapping("/save")
    @PreAuthorize("authentication.principal.username=='tom'")  //即只有tom才能进行用户的添加
    public String saveUser(UserInfo userInfo){

      userService.saveUserInfo(userInfo);

        return "redirect:/user/findAll";


    }

图示：

记住上面的配置是在spring-mvc的配置文件中配置，同时还要加上spring-security的空间约束

页面端权限控制

1、导入依赖

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring.security.version}</version>
</dependency>

2、在jsp页面导入标签

<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

3、在jsp使用标签

principal:代表现在正在操作的对象

图解步骤：

常用标签

在jsp中我们可以使用以下三种标签，其中authentication代表的是当前认证对象，可以获取当前认证对象信息，例如用户名。其它两个标签我们可以用于权限控制。

1、 authentication

< security:authentication property="" htmlEscape="" scope="" var=""/>

property：只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，不允许直接通过方法进行调用

htmlEscape：表示是否需要将html进行转义。默认为true。

scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。Jsp中拥有的作用范围都进行进行指定

var：用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存放，默认是存放在pageConext中

2、 authorize

authorize是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

<security:authorize access="" method="" url="" var=""></security:authorize>

access：需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限

method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限， method的默认值为GET，可选值为http请求的7种方法

url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容

var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

注意：