JSP标签库
声明标签库
要使用任何标签,必须在JSP中声明安全标签库。
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>authorize标签
此标签用于确定是否应评估其内容。在Spring Security 3.0中,它可以以两种方式使用。
|
Spring Security 2.0中的旧选项也受支持,但不推荐使用。 |
第一种方法使用web安全表达式,该表达式在标签的access属性中指定。表达式评估被委托给应用程序上下文(应用上下文)中定义的SecurityExpressionHandler<FilterInvocation>(为了确保此服务可用,您应该在<http>命名空间配置中启用web表达式)。例如,您可能拥有:
<sec:authorize access="hasRole('supervisor')">
This content will only be visible to users who have the "supervisor" authority in their list of <tt>GrantedAuthority</tt>s.
</sec:authorize>当与Spring Security的PermissionEvaluator结合使用时,该标签也可以用于检查权限。
<sec:authorize access="hasPermission(#domain,'read') or hasPermission(#domain,'write')">
This content will only be visible to users who have read or write permission to the Object found as a request attribute named "domain".
</sec:authorize>一个常见需求是只显示特定链接,假设用户实际上被允许点击它。我们如何预先确定是否允许某项操作?此标签还可以以另一种模式运行,允许您将特定URL定义为属性。如果用户被允许调用该URL,则评估标签主体。否则,它将被跳过。因此,您可能会有类似这样的内容:
<sec:authorize url="/admin">
This content will only be visible to users who are authorized to send requests to the "/admin" URL.
</sec:authorize>要使用此标签,您还必须在应用程序上下文中拥有一个WebInvocationPrivilegeEvaluator实例。如果您使用命名空间,则会自动注册一个。这是一个DefaultWebInvocationPrivilegeEvaluator实例,它为提供的URL创建一个虚拟web请求,并调用安全拦截器以查看请求是成功还是失败。这使您可以委托给您使用<http>命名空间配置中的intercept-url声明定义的访问控制设置,并避免在JSP中重复信息(例如所需的角色)。您还可以将此方法与method属性(提供HTTP方法,例如POST)结合使用,以实现更具体的匹配。
您可以通过将var属性设置为变量名来将评估标签的布尔结果(是否授予或拒绝访问)存储在页面上下文范围变量中,避免需要在页面的其他位置重复和重新评估条件。
禁用标签授权以进行测试
隐藏页面中未授权用户的链接并不能阻止他们访问URL。例如,他们可以直接在浏览器中输入它。作为测试过程的一部分,您可能希望显示隐藏区域,以检查链接是否确实在后端得到保护。如果将spring.security.disableUISecurity系统属性设置为true,则authorize标签仍然运行,但不隐藏其内容。默认情况下,它还在内容周围添加<span class="securityHiddenUI">…</span>标签。这使您可以使用特定的CSS样式(例如不同的背景颜色)来显示“隐藏”内容。例如,尝试启用此属性后运行“tutorial”示例应用程序。
如果您想更改默认span标签周围的文本(或使用空字符串将其完全删除),还可以设置spring.security.securedUIPrefix和spring.security.securedUISuffix属性。
authentication标签
此标签允许访问安全上下文中存储的当前Authentication对象。它直接在JSP中呈现对象的属性。例如,如果Authentication的principal属性是Spring Security的UserDetails对象的实例,则使用<sec:authentication property="principal.username" />将呈现当前用户的名称。
当然,没有必要为此类事情使用JSP标签,有些人更喜欢在视图中保留尽可能少的逻辑。您可以在MVC控制器中访问Authentication对象(通过调用SecurityContextHolder.getContext().getAuthentication()),并将数据直接添加到您的模型中,以便视图进行呈现。
accesscontrollist 标签
此标签仅在与 Spring Security 的 ACL 模块一起使用时有效。它检查指定域对象的逗号分隔的所需权限列表。如果当前用户拥有所有这些权限,则评估标签主体。如果没有,则跳过。
|
通常情况下,此标签应被视为已弃用。请改用authorize 标签。 |
以下清单显示了一个示例
<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">
<!-- This will be shown if the user has all of the permissions represented by the values "1" or "2" on the given object. -->
</sec:accesscontrollist>权限被传递到应用程序上下文中的PermissionFactory,将其转换为 ACL Permission 实例,因此它们可以是工厂支持的任何格式。它们不必是整数。它们可以是字符串,例如READ或WRITE。如果找不到PermissionFactory,则使用DefaultPermissionFactory的实例。应用程序上下文中的AclService用于加载提供的对象的Acl实例。使用所需的权限调用Acl以检查是否授予所有权限。
此标签还支持var属性,与authorize标签的方式相同。
csrfInput 标签
如果启用了 CSRF 保护,则此标签会插入一个隐藏的表单字段,其中包含 CSRF 保护令牌的正确名称和值。如果未启用 CSRF 保护,则此标签不输出任何内容。
通常,Spring Security 会自动为使用的任何<form:form>标签插入 CSRF 表单字段,但如果由于某种原因无法使用<form:form>,csrfInput是一个方便的替代方案。
您应该将此标签放在 HTML <form></form>块内,您通常会在其中放置其他输入字段。不要将此标签放在 Spring <form:form></form:form>块内。Spring Security 自动处理 Spring 表单。以下清单显示了一个示例
<form method="post" action="/do/something">
<sec:csrfInput />
Name:<br />
<input type="text" name="name" />
...
</form>csrfMetaTags 标签
如果启用了 CSRF 保护,则此标签会插入包含 CSRF 保护令牌表单字段和标题名称以及 CSRF 保护令牌值的元标记。这些元标记对于在应用程序的 JavaScript 中使用 CSRF 保护非常有用。
您应该将csrfMetaTags放在 HTML <head></head>块内,您通常会在其中放置其他元标记。使用此标签后,您可以使用 JavaScript 访问表单字段名称、标题名称和令牌值。此示例中使用 JQuery 使任务更容易。以下清单显示了一个示例
<!DOCTYPE html>
<html>
<head>
<title>CSRF Protected JavaScript Page</title>
<meta name="description" content="This is the description for this page" />
<sec:csrfMetaTags />
<script type="text/javascript" language="javascript">
var csrfParameter = $("meta[name='_csrf_parameter']").attr("content");
var csrfHeader = $("meta[name='_csrf_header']").attr("content");
var csrfToken = $("meta[name='_csrf']").attr("content");
// using XMLHttpRequest directly to send an x-www-form-urlencoded request
var ajax = new XMLHttpRequest();
ajax.open("POST", "https://www.example.org/do/something", true);
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded data");
ajax.send(csrfParameter + "=" + csrfToken + "&name=John&...");
// using XMLHttpRequest directly to send a non-x-www-form-urlencoded request
var ajax = new XMLHttpRequest();
ajax.open("POST", "https://www.example.org/do/something", true);
ajax.setRequestHeader(csrfHeader, csrfToken);
ajax.send("...");
// using JQuery to send an x-www-form-urlencoded request
var data = {};
data[csrfParameter] = csrfToken;
data["name"] = "John";
...
$.ajax({
url: "https://www.example.org/do/something",
type: "POST",
data: data,
...
});
// using JQuery to send a non-x-www-form-urlencoded request
var headers = {};
headers[csrfHeader] = csrfToken;
$.ajax({
url: "https://www.example.org/do/something",
type: "POST",
headers: headers,
...
});
<script>
</head>
<body>
...
</body>
</html>如果未启用 CSRF 保护,csrfMetaTags将不输出任何内容。
