您的位置: 首页  >  技术问答  >  如何在jsp中获得spring安全角色层次结构?

如何在jsp中获得spring安全角色层次结构?

分类: 技术问答 2022-04-29 16:33:38

如何在jsp中获得spring安全角色层次结构?

问题描述:

我尝试让角色层次结构在我的应用程序中工作。我唯一想要的是所有级别的定义层次结构:在url级别,现在也在视图级别(在我的jsp文件中)。如何在jsp中获得spring安全角色层次结构?

我用下面的设置:

 <beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased"> 
     <beans:property name="decisionVoters"> 
      <beans:list> 
       <beans:ref bean="roleHierarchyVoter"/> 
       <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter"> 
        <beans:property name="expressionHandler"> 
         <beans:bean class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"> 
          <beans:property name="roleHierarchy" ref="roleHierarchy"/> 
         </beans:bean> 
        </beans:property> 
       </beans:bean> 
       <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/> 
      </beans:list> 
     </beans:property> 
    </beans:bean> 

    <beans:bean id="roleHierarchyVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter"> 
     <beans:constructor-arg ref="roleHierarchy"/> 
    </beans:bean> 

    <beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl"> 
     <beans:property name="hierarchy"> 
      <beans:value> 
       ROLE_ADMIN > ROLE_OWNER 
       ROLE_OWNER > ROLE_DISTRIBUTOR 
       ROLE_DISTRIBUTOR > ROLE_RESELLER 
       ROLE_RESELLER > ROLE_USER 
      </beans:value> 
     </beans:property> 
    </beans:bean> 

<http auto-config="true" use-expressions="true" access-decision-manager-ref="accessDecisionManager"> 
    ... 
</http>

对于URL级别(拦截的URL),它的工作原理非常好,但在我的JSP文件,没有工作。问题是我没有正确理解配置以使角色层次结构起作用。

<security:authorize access="hasRole('ROLE_ADMIN')"> 
    <div class="span4"> 
     <h2>Admin</h2> 
    </div><!--/span--> 
</security:authorize> 
<security:authorize access="hasRole('ROLE_OWNER')"> 
    <div class="span4"> 
     <h2>Owner</h2> 
    </div><!--/span--> 
</security:authorize> 
<security:authorize access="hasRole('ROLE_DISTRIBUTOR')"> 
    <div class="span4"> 
     <h2>Distributor</h2> 
    </div><!--/span--> 
</security:authorize>

我用这个简单的例子在视图级别测试角色层次结构,但它不起作用。只有具有管理员角色的用户才能看到他的区块,但不能看到其他区块。

有一个想法我做错了我的配置。

+0

你有这个问题的答案?我面临同样的问题... – ZheFrench 2013-10-16 09:00:04

+0

回答这里的春季4,百里香和注释配置: [链接](https://*.com/a/45419894/1784136) – arctica 2017-07-31 15:33:51

我有同样的问题(Spring Security 3.2.5)。

通过声明解决了我的DefaultWebSecurityExpressionHandler部分<http>

<!-- This must go before the http element in order to be used by security:authorize tags using the access attribute --> 
<!-- https://jira.spring.io/browse/SEC-1452 --> 
<beans:bean id="webSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler"> 
    <beans:property name="roleHierarchy" ref="roleHierarchy" /> 
</beans:bean>

看到 https://jira.spring.io/browse/SEC-1452http://forum.spring.io/forum/spring-projects/security/67494-configuration-of-spring-security-3-0m1-expression-handler-bug/page3

相关推荐