Spring Security提供的标签库,主要的用途是为了在视图层直接访问用户信息,再者就是为了对显示的内容进行权限管理。
authorize用来判断当前用户的权限,然后根据指定的条件判断是否显示内部的内容。
<sec:authorize ifAllGranted="ROLE_ADMIN,ROLE_USER">admin and user </sec:authorize> <sec:authorize ifAnyGranted="ROLE_ADMIN,ROLE_USER">
admin or user </sec:authorize> <sec:authorize ifNotGranted="ROLE_ADMIN">
not admin </sec:authorize>
|
|
ifAllGranted,只有当前用户同时拥有ROLE_ADMIN和ROLE_USER两个权限时,才能显示标签内部内容。 |
|
|
ifAnyGranted,如果当前用户拥有ROLE_ADMIN或ROLE_USER其中一个权限时,就能显示标签内部内容。 |
|
|
ifNotGranted,如果当前用户没有ROLE_ADMIN时,才能显示标签内部内容。 |
一个常见的需求是,普通用户登录之后显示普通用户的工作台,管理员登陆之后显示后台管理页面。这个功能可以使用taglib解决。
其实只要在登录成功后的jsp页面中使用taglib判断当前用户拥有的权限进行跳转就可以。
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %> <sec:authorize ifAllGranted="ROLE_ADMIN">
|
|
当用户拥有ROLE_ADMIN权限时,既跳转到admin.jsp显示管理后台。 |
|
|
当用户没有ROLE_ADMIN权限时,既跳转到user.jsp显示普通用户工作台。 |
这里我们只做最简单的判断,只区分当前用户是否为管理员。可以根据实际情况做更加复杂的跳转,当用户具有不同权限时,跳到对应的页面,甚至可以根据用户username跳转到各自的页面。
实例在ch105。