spring security 权限管理

服务器端方法级权限控制

在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。
Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解，这三种注解默认都是没有启用的，需要单独通过global-method-security元素的对应属性进行启用

JSR-250 注解

jsr-250注解有三个方法实现权限控制：@RolesAllowed、@PermitAll、@DenyAll
@RolesAllowed：表示具有定义的角色时才可以访问对应的方法
@PermitAll：允许所有角色进行访问，等于不进行权限控制
@DenyAll：此方法跟@PermitAll正好相反，表示什么角色都不能进行访问
jsr-250主要是在Controller层中指定的方法上使用

1.在 springmvc.xml 配置文件中开启

2.在pom.xml文件中导入 jsr250 的依赖

    javax.annotation
    jsr250-api
    1.0

3.在指定的方法上添加注解@RolesAllowed

@RolesAllowed({"USER", "ADMIN"})
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "USER", "ADMIN" 任意一种权限就可以访问。这里可以省略前缀 ROLE_ ，实际的权限可能是 ROLE_ADMIN
ROLE_USER, ROLE_ADMIN 等权限需要在 spring-security.xml 配置中定义

如果没有权限的用户访问时，会跳转403错误页面，体验不太由友好，可以指定跳转页面，需要在web.xml中配置如下信息。如果用户访问了没有权限的请求地址，会跳转到指定的 403.jsp 页面
（此处有问题，无法实现跳转，暂时没找到原因）

    
        403
        /403.jsp
    

---

@Secured 注解

1.在 springmvc.xml 配置文件中开启

2.在指定的方法上添加注解 @Secured 注解

@Secured("ROLE_ADMIN")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "ROLE_USER", "ROLE_ADMIN" 任意一种权限就可以访问。这里不可以省略前缀 ROLE_ 。
ROLE_USER, ROLE_ADMIN 等权限需要在 spring-security.xml 配置中定义（定义方式同 JSR-250 注解）

---

基于SPLE表达式的权限控制

1.在 springmvc.xml 配置文件中开启

2.在指定的方法上添加注解 @PreAuthorize 注解

@PreAuthorize("hasRole(['ROLE_ADMIN','ROLE_USER'])")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法只要具有 "ROLE_USER", "ROLE_ADMIN" 任意一种权限就可以访问。

@PreAuthorize("authentication.principal.userName=='admin'")
public String save(UserInfo userInfo){
    userService.save(userInfo);
    return "redirect:findAll";
}

该方法必须是用户名为admin的用户才可以访问。

---

页面端标签控制权限

在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制

1.导入

1.1maven导入

    
        org.springframework.security
        spring-security-taglibs
        version
    

1.2页面导入

    <%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

2.常用标签

2.1authentication：可以获取当前登录的用户的信息

property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，
不允许直接通过方法进行调用
htmlEscape：表示是否需要将html进行转义。默认为true。
scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。Jsp中拥
有的作用范围都进行进行指定
var： 用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存
放，默认是存放在pageConext中

2.1.1获取当前登录用户的用户名，并且显示在页面

authentication 标签的 property 属性

2.2authorize：是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限，
method的默认值为GET，可选值为http请求的7种方法
url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

2.2.1在 spring-security.xml 配置文件开启页面支持SPEL表达式

开启表达式：use-expressions="true"
开启表达式后： access 也需要使用表达式
access="hasAnyRole('ROLE_USER','ROLE_ADMIN','ROLE_TEST','ROLE_PRODUCT','ROLE_ORDERS')"

如果不想在配置文件开启表达式也可在配置文件添加如下 bean，配置后不开启表达式也可以

2.2.2在页面设置对应权限可以显示的内容

authorize 标签中的 access 属性

    

         
             用户管理
        
    

有 ROLE_USER 权限才可以显示用户管理