AI 搜索

    【转】Spring security3 sec:authorize url 无效的问题

    最新推荐文章于 2021-07-12 20:49:24 发布
    最新推荐文章于 2021-07-12 20:49:24 发布
    阅读量3.2k 收藏 1
    点赞数
    文章标签: spring security secauthorize url 不起

    原贴地址:http://my.oschina.net/u/2259804/blog/476044


    转载注:在需要用SS控制界面元素的显示隐藏,而又无法为sec:authorize标签提供一个确定的Role列表(这通常出现在系统的角色有增、减需求的场合),则可以使用下面的方法解决问题。

    如果项目里SS的权限控制已经完备,那么只需要做第1步就好了。记住将ref指向的过滤器改成自己的。

    Spring security3 sec:authorize url 无效的问题

    发表于2个月前(2015-07-08 10:44)   阅读( 85) | 评论( 1)  0人收藏此文章, 我要收藏
    0

    9月19日成都 OSC 源创会正在报名,送机械键盘和开源无码内裤  

    sexurity的xml文件里

    1、在<http auto-config="true">上面加上如下代码

    ?
    1
    2
    3
    < beans:bean  id = "customWebInvocationPrivilegeEvaluator"  class = "org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator" >  
             < beans:constructor-arg  name = "securityInterceptor"  ref = "filterSecurityInterceptor"  />  
         </ beans:bean >

    2、ref="filterSecurityInterceptor" 这里是自定义的过滤器

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    < beans:bean  id = "filterSecurityInterceptor"
         class = "org.springframework.security.web.access.intercept.FilterSecurityInterceptor"  autowire = "byType" >
         < beans:property  name = "securityMetadataSource"  ref = "filterInvocationSecurityMetadataSource"  />
         < beans:property  name = "authenticationManager"  ref = "org.springframework.security.authenticationManager" />
    </ beans:bean >
     
    < beans:bean  id = "filterInvocationSecurityMetadataSource"
         class = "com.iqilu.security.JdbcFilterInvocationDefinitionSourceFactoryBean" >
         < beans:property  name = "dataSource"  ref = "dataSource" />
         < beans:property  name = "resourceQuery"  value="
                 select re.c_res_string,r.c_name 
                 from t_role r 
                 join t_resc_role rr on  r.C_ID = rr .C_ROLE_ID 
                 join t_resc re on  re.C_ID = rr .C_RESC_ID 
                 order by re.c_priority
         "/>
    </ beans:bean >


    完整的配置:

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    <? xml  version = "1.0"  encoding = "UTF-8" ?>  
    < beans:beans  xmlns = "http://www.springframework.org/schema/security"   
         xmlns:beans = "http://www.springframework.org/schema/beans"   
         xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"   
         xsi:schemaLocation="http://www.springframework.org/schema/beans   
             http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
             http://www.springframework.org/schema/security   
             http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
             
         < beans:bean  id = "customWebInvocationPrivilegeEvaluator"  class = "org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator" >  
             < beans:constructor-arg  name = "securityInterceptor"  ref = "filterSecurityInterceptor"  />  
         </ beans:bean >      
         
         <!-- 对于一些css、js、图片等文件不进行过滤 -->
         < http  pattern = "/css/**"  security = "none"  />
         < http  pattern = "/js/**"  security = "none"  />
         < http  pattern = "/images/**"  security = "none"  />
         < http  pattern = "/themes/**"  security = "none"  />
         < http  auto-config = "true"  access-denied-page = "/accessDenied.jsp" >
             < intercept-url  pattern = "/login.jsp"  access = "IS_AUTHENTICATED_ANONYMOUSLY"  />
             < intercept-url  pattern = "/upload.jsp"  access = "ROLE_ADMIN"  />
             < intercept-url  pattern = "/**"  access = "ROLE_USER,ROLE_ADMIN"  />
             < form-login  login-page = "/login.jsp"
                 authentication-failure-url = "/login.jsp?error=true"
                 default-target-url = "/index.jsp"  />
             < logout  invalidate-session = "true"  
                logout-success-url = "/login.jsp"  
                logout-url = "/j_spring_security_logout" />
             < custom-filter  ref = "filterSecurityInterceptor"  before = "FILTER_SECURITY_INTERCEPTOR"  />
         </ http >  
         
         <!-- 认证管理器 -->
         < authentication-manager >
             < authentication-provider >
                 < jdbc-user-service  data-source-ref = "dataSource"
                     users-by-username-query = "select C_ACCOUNT as username,C_PASSWORD as password, 1  as enabled from t_user where C_ACCOUNT=?"
                     authorities-by-username-query="select u.C_ACCOUNT as username,r.c_name as authority 
                         from t_user u
                         join t_user_role ur
                         on  u.C_BH = ur .c_user_id
                         join t_role r
                         on  r.c_id = ur .c_role_id
                         where u.C_ACCOUNT=?"/>
             </ authentication-provider >
         </ authentication-manager >
         
         < beans:bean  id = "filterSecurityInterceptor"
             class = "org.springframework.security.web.access.intercept.FilterSecurityInterceptor"  autowire = "byType" >
             < beans:property  name = "securityMetadataSource"  ref = "filterInvocationSecurityMetadataSource"  />
             < beans:property  name = "authenticationManager"  ref = "org.springframework.security.authenticationManager" />
         </ beans:bean >
     
         < beans:bean  id = "filterInvocationSecurityMetadataSource"
             class = "com.iqilu.security.JdbcFilterInvocationDefinitionSourceFactoryBean" >
             < beans:property  name = "dataSource"  ref = "dataSource" />
             < beans:property  name = "resourceQuery"  value="
                 select re.c_res_string,r.c_name 
                 from t_role r 
                 join t_resc_role rr on  r.C_ID = rr .C_ROLE_ID 
                 join t_resc re on  re.C_ID = rr .C_RESC_ID 
                 order by re.c_priority
             "/>
         </ beans:bean >
    </ beans:beans >

    4、过滤器代码:

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    package  com.iqilu.security;
     
    import  java.sql.ResultSet;
    import  java.sql.SQLException;
    import  java.util.Collection;
    import  java.util.LinkedHashMap;
    import  java.util.List;
    import  java.util.Map;
     
    import  javax.sql.DataSource;
     
    import  org.springframework.beans.factory.FactoryBean;
    import  org.springframework.jdbc.core.support.JdbcDaoSupport;
    import  org.springframework.jdbc.object.MappingSqlQuery;
    import  org.springframework.security.access.ConfigAttribute;
    import  org.springframework.security.access.ConfigAttributeEditor;
    import  org.springframework.security.web.access.intercept.DefaultFilterInvocationSecurityMetadataSource;
    import  org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    import  org.springframework.security.web.util.AntPathRequestMatcher;
    import  org.springframework.security.web.util.RequestMatcher;
     
     
    @SuppressWarnings ({  "rawtypes" "deprecation"  })
    public  class  JdbcFilterInvocationDefinitionSourceFactoryBean
         extends  JdbcDaoSupport  implements  FactoryBean {
         private  String resourceQuery;
     
         public  boolean  isSingleton() {
             return  true ;
         }
     
         public  Class getObjectType() {
             return  FilterInvocationSecurityMetadataSource. class ;
         }
     
         public  Object getObject() {
             return  new  DefaultFilterInvocationSecurityMetadataSource( this
                 .buildRequestMap());
         }
     
         @SuppressWarnings ( "unchecked" )
         protected  Map<String, String> findResources() {
             ResourceMapping resourceMapping =  new  ResourceMapping(getDataSource(),
                     resourceQuery);
     
             Map<String, String> resourceMap =  new  LinkedHashMap<String, String>();
     
             for  (Resource resource : (List<Resource>) resourceMapping.execute()) {
                 String url = resource.getUrl();
                 String role = resource.getRole();
     
                 if  (resourceMap.containsKey(url)) {
                     String value = resourceMap.get(url);
                     resourceMap.put(url, value +  ","  + role);
                 else  {
                     resourceMap.put(url, role);
                 }
             }
     
             return  resourceMap;
         }
     
         @SuppressWarnings ({  "unchecked"  })
         protected  LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> buildRequestMap() {
             LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap =
                 null ;
             requestMap =  new  LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>>();
     
             ConfigAttributeEditor editor =  new  ConfigAttributeEditor();
     
             Map<String, String> resourceMap =  this .findResources();
     
             for  (Map.Entry<String, String> entry : resourceMap.entrySet()) {
                 String key = entry.getKey();
                 editor.setAsText(entry.getValue());
                 requestMap.put( new  AntPathRequestMatcher(key),
                     (Collection<ConfigAttribute>) editor.getValue());
             }
     
             return  requestMap;
         }
     
         public  void  setResourceQuery(String resourceQuery) {
             this .resourceQuery = resourceQuery;
         }
     
         private  class  Resource {
             private  String url;
             private  String role;
     
             public  Resource(String url, String role) {
                 this .url = url;
                 this .role = role;
             }
     
             public  String getUrl() {
                 return  url;
             }
     
             public  String getRole() {
                 return  role;
             }
         }
     
         private  class  ResourceMapping  extends  MappingSqlQuery {
             protected  ResourceMapping(DataSource dataSource,
                 String resourceQuery) {
                 super (dataSource, resourceQuery);
                 compile();
             }
     
             protected  Object mapRow(ResultSet rs,  int  rownum)
                 throws  SQLException {
                 String url = rs.getString( 1 );
                 String role = rs.getString( 2 );
                 Resource resource =  new  Resource(url, role);
     
                 return  resource;
             }
         }
    }

    CoderAndy
    关注
    Spring Boot+Spring Security:标签sec:authorize的使用 - 第18篇
    悟纤学院
    03-13 2万+
    需求缘起 在访问/index页面,user用户应该能够看到admin page的链接,针对这个问题可以通过sec:authorize标签进行控制。 一、标签sec:authorize的使用 1.1 引入依赖 在pom.xml文件中添加依赖: <dependency> <groupId>org.th...
    SpringSecurity+Thymeleaf中sec:authorize=“isAuthenticated()“生效,页面显示错误
    weixin_42260782的博客
    09-01 1978
    在搞权限时候,发现登录页面是混乱的,在没登录的情况下,展示出了“您好,您的角色有” 这种本该是登陆状态下才展示的东西,我觉得应该是"isAuthenticated()"没有生效,没有准确判断出登录状态以及该展示的东西。 网上查到说:是springboot在引入security的时候在springboot的2.0.7之后的版本中对于此标签好像支持,所以就会出现写了之后无反应的情况,将我们引入的springboot版本改到2.0.7或者之前版本就好了,经过我多次尝试,发现是引入版本的问题 前端页面中引入的命
    SpringBoot2.2.6版本遇到的坑Thymeleaf的sec:authorize标签无效
    莫得感情的小猪头的博客
    04-25 913
    SpringBoot v2.2.6版本使用Thym...
    thymeleaf sec:authorize 标签使用无效
    A_New_hand的博客
    03-29 605
    Spring boot 中使用thymeleaf sec:authorize 标签使用无效 可使用的配置 方法一:pom文件 : <!--从网上查阅后,有的说降级至--->2.0.7.RELEASE可以使用,亲测试可行--> <parent> <groupId>org.springframework.boot</groupId> ...
    SpringBoot2.5.1整合thymeleaf以及springsecuritysec:authorize无效问题
    冲出仁川,走出马德里,故事还会再继续
    06-16 611
    sec:authorize无效问题1、问题描述2、解决方案: 1、问题描述 修改之前我的pom.xml文件如下,但是sec:authorize一直生效。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocat
    spring securitysec:authorize 失效
    小生范
    07-12 771
    配好thymeleaf-extras-springsecurity5之后 thymeleaf页面使用sec:authorize="!isAuthenticated()"判断是否已经登录竟然失败了 没有反应,额,也是没反应,这个包围的代码在浏览器是看到了 <div sec:authorize="!isAuthenticated()"> <!--未登录--> <a href="/login" class="blog-user"> &l
    springboot2.2.7版本中sec:authorize无效解决
    MrQueens的博客
    06-21 355
    springboot 版本2.2.7.release 在build.gradle中设置thymeleaf-extras-springsecurity为 compile(‘org.thymeleaf.extras:thymeleaf-extras-springsecurity5’) 同时在html中设置 xmlns:sec=“http://www.thymeleaf.org/thymeleaf-extras-springsecurity5” 详见https://segmentfault.com/a/119
    sec:authorize=“isAuthenticated()“关于导入Spring Security和thymeleaf整合包后sec标签无法显示问题
    rmangsj的博客
    11-19 588
    首先命名空间问题 xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4" //或者是xmlns:sec="http://www.w3.org/1999/xhtml" 一定要记得看清楚sec和th。 第二个问题可能是导入依赖的版本号没有相互对应 <dependency> <groupId>o
    springboot整合spring security,表单提交403拒绝访问和sec:authorize="isAuthenticated()"失效问题
    Mr_Simple_V的博客
    12-01 2481
    最近在学习springboot整合spring security遇到一些问题: 1.有一个新增用户的页面,是使用的form表单进行的post提交。但是总是会报403错误: 好多小伙伴陌生吧,对于这个页面,我们都知道403就是权限足,但是我是有给权限的。 .antMatchers("/users/**").hasRole("ADMIN") 登录的用户就是ADMIN权限,但是访问就会报错,就很纳...
    sec:authorize起作用
    06-03
    1. 配置问题:请确保您已经正确配置了Spring Security,并且在配置文件中启用了sec:authorize标签。 2. 角色错误:请确保您的用户角色与您在sec:authorize中设置的角色匹配。如果匹配,标签将会生效。 3. CSRF...
    Spring security3 sec:authorize url 根据权限控制按钮的显示
    weixin_34391854的博客
    07-20 480
    为什么80%的码农都做了架构师?>>> ...
    Spring Boot+Security+Thymeleaf sec:authorize-url 标签生效
    浅汐
    09-12 527
    SpringBoot + SpringSecurity + Thymeleaf 搭建了一个应用,发现 Thymeleaf sec:authorize-url 以及 sec:authorize="hasRole('ROLE_ADMIN')" 标签都生效。 后来发现是 Maven 引入 thymeleaf-extras-springsecurity4 时没有指定版本号,直接使用是SpringBo...
    解决Spring Boot Security – Thymeleaf sec:authorize-url 标签生效(排坑)
    HD243608836的博客
    08-08 1757
    载自:http://auan.cn/java/1654.html 总结:我那个原因是引用 thymeleaf-extras-springsecurity4 时没有指定版本。后来指定了3.0.2.RELEASE就可以了。应该是版本兼容问题。 另外最新版的 springboot 2.1.x 也会有问题。建议用 2.0.x 用 SpringBoot + SpringSecurity + Th...
    Spring security3 sec:authorize url 无效问题
    weixin_33943836的博客
    07-08 168
    为什么80%的码农都做了架构师?>>> ...
    解决Spring Boot Security – Thymeleaf sec:authorize-url 标签生效问题
    良晨的技术站
    05-15 897
    有可能是以下问题: 1.未引入依赖 maven: <!--springsecurity4 要指定3.0以上版本,否则权限标签可能无法工作--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-spri...
    sec:authorize-url标签生效问题
    日月忽其不淹兮,春与秋其代序 认知即成长
    07-20 2281
    问题描述:         我这里的项目使用spring cloud+thymeleaf+spring security,使用的thymeleaf和spring security整合的标签,网上的解决方法很多,很简单 sec:authorize="hasRole('ROLE_ADMIN')" 标签可以生效,但是我想控制button的显示与隐藏, sec:authorize-url 无效,下
    spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效
    chengzhui0990的博客
    01-19 925
    问题spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效 解决办法: <!-- 把下面定义的 bean 放到所有 http 标签之前 --> <bea...
    CentOS 8 配置 authorized_keys 免密登录后,免密登录失败的排查以及最终的解决
    FungLeo's Blog
    03-24 2607
    CentOS 8 配置 authorized_keys 后,登录失败的排查以及最终的解决 安装好系统后,照例新增了 /root/.ssh/authorized_keys 文件,并将我的公钥粘贴进去,然后就准备免密登录了。但是,告诉我,要输入密码-_-||| 我嘞个娘亲哎,这么多年,第一次遇到这种情况。于是开始排查。首先根据网上的说法,排查了文件的权限,然后发现,木有问题。。 没办法了,我重新配置 /etc/ssh/sshd_config 文件,将日志调整为 DEBUG 模式 LogLevel DEBUG
    spring_secrity
    StrutsFamily的专栏
    02-13 1641
    Spring Security入门篇——标签sec:authorize的使用 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签在这里研究 前提:项目需要引用spring-secu

    登录后您可以享受以下权益:

    ×
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值
    程序员都在用的中文IT技术交流社区

    程序员都在用的中文IT技术交流社区

    专业的中文 IT 技术社区,与千万技术人共成长

    专业的中文 IT 技术社区,与千万技术人共成长

    关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

    关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

     客服 返回顶部