原文链接:Thymeleaf - Spring Security integration modules

来源:thymeleaf/thymeleaf-extras-springsecurity自述文件

状态

这是一个Thymeleaf附加模块,不是Thymeleaf核心的一部分(因此它有自己的版本号),但是Thymeleaf团队提供全部支持。

这个仓库包含3个项目:

  • thymeleaf-extras-springsecurity5是与Spring Security 5.x相匹配的集成模块
  • thymeleaf-extras-springsecurity6是与Spring Security 6.x相匹配的集成模块

当前版本:

  • 3.0.4.RELEASE适用于Thymeleaf 3.0(要求Thymeleaf版本高于或等于3.0.10)
  • 2.1.3.RELEASE适用于Thymeleaf 2.1(要求Thymeleaf版本高于或等于2.1.2)

许可

本软件按照Apache License 2.0提供许可。

要求(3.0.x)

  • Thymeleaf版本高于或等于3.0.10
  • Spring框架版本在3.0.x至5.1.x之间
  • Spring Security版本在3.0.x至5.1.x之间
  • 联网环境(Spring Security集成不能离线工作)。还需要Spring MVC和Spring WebFlux才能工作。

Maven信息

  • groupId: org.thymeleaf.extras
  • artifactId:
    • Spring Security 5集成包:thymeleaf-extras-springsecurity5
    • Spring Security 6集成包:thymeleaf-extras-springsecurity6

分发包

分发包(二进制文件、源代码和文档)可以在bintray下载。

特性

模块提供名为org.thymeleaf.extras.springsecurity5.dialect.SpringSecurityDialectorg.thymeleaf.extras.springsecurity6.dialect.SpringSecurityDialect的新方言(具体是哪个方言取决于Spring Security版本),方言默认前缀是sec。这些方言包括:

  • 新的表达式工具对象:

    • #authentication表示Spring Security认证对象(一个实现了org.springframework.security.core.Authentication接口的对象)
    • #authorization:一个表达式工具对象,可以根据表达式、url和访问控制列表检查授权。
  • 新属性:
    • sec:authentication="prop"输出authentication对象的prop属性值,这与JSP标签<sec:authentication />类似。
    • sec:authorize="expr"sec:authorize-expr="expr"根据用户能否通过expr表达式的授权验证,决定是否渲染该属性所在标签。(sec:authorize="expr" or sec:authorize-expr="expr" renders the element children (tag content) if the authenticated user is authorized to see it according to the specified Spring Security expression.)(译注:上句翻译不贴合本意,是译者根据自己的使用体验写的,下面两句翻译可能也不贴合本意)
    • sec:authorize-url="url"根据用户能否访问特定URL决定是否渲染该属性所在标签。
    • sec:authorize-acl="object :: permissions"根据Spring Source的访问控制列表系统和用户对特定领域对象是否有指定权限来决定是否渲染属性所在标签。

配置

为了在Spring MVC应用中使用thymeleaf-extras-springsecurity[5][6]模块(或者在Spring WebFlux应用中使用thymeleaf-extras-springsecurity6),对于使用Spring和Thymeleaf的应用首先需要使用通常的方式配置应用(TemplateEngine bean、模板解析器等等),然后将Spring Security方言添加到模板引擎中,这样就可以使用sec:*属性和专用表达式工具对象:

<bean id="templateEngine" class="org.thymeleaf.spring5.SpringTemplateEngine">

  ...

  <property name="additionalDialects">

    <set>

      <!-- Note the package would change to 'springsecurity[5]' if you are using that version -->

      <bean class="org.thymeleaf.extras.springsecurity6.dialect.SpringSecurityDialect"/>

    </set>

  </property>

...

</bean>

以上就是全部内容了!

注意:如果是在Spring Boot应用中使用Thymeleaf,只需要把相应的Thymeleaf和Spring Security的starter以及thymeleaf-extras-springsecurity[5|6]依赖添加到应用中,方言就自动配置好了。

使用表达式工具对象

#authentication对象使用起来很简单,就像下面这样:

<div th:text="${#authentication.name}">

  The value of the "name" property of the authentication object should appear here.

</div>

#authorization也可以以同样的方式使用,通常用在th:ifth:unless标签中:

<div th:if="${#authorization.expression('hasRole(''ROLE_ADMIN'')')}">

  This will only be displayed if authenticated user has role ROLE_ADMIN.

</div>

#authorization对象是org.thymeleaf.extras.springsecurity[5|6].auth.Authorization类的实例,参阅该类与它的文档来理解它的方法。

使用属性

使用sec:authentication属性基本等同于使用#authentication对象,但是仅能使用该对象的属性:

<div sec:authentication="name">

  The value of the "name" property of the authentication object should appear here.

</div>

sec:authorizesec:authorize-expr属性完全相同。它们和在th:if中使用#authorization.expression(...)效果相同:

<div sec:authorize="hasRole('ROLE_ADMIN')">

  This will only be displayed if authenticated user has role ROLE_ADMIN.

</div>

这些sec:authorize属性中的Spring安全表达式实际上是在springsecurity特定的根对象上计算的Spring EL表达式,根对象包含hasRole(…)getPrincipal()等方法。(These Spring Security Expressions in sec:authorize attributes are in fact Spring EL expressions evaluated on a SpringSecurity-specific root object containing methods such as hasRole(...), getPrincipal(), etc.)

与普通的Spring EL表达式一样,可以在Thymeleaf中访问一系列对象,这些对象包括上下文变量映射(#vars对象)。事实上,可以用${…}包围访问表达式,如果你觉得这样让你更舒服(译注:意思是不用${…}包围表达式也可以):

<div sec:authorize="${hasRole(#vars.expectedRole)}">

  This will only be displayed if authenticated user has a role computed by the controller.

</div>

记住,Spring Security将一个特殊的安全导向的对象设置为表达式根,这就是不能在上述表达式中直接访问expctedRole变量的原因。

另一种检查授权的方式是sec:authorize-url,可以用这个属性检查用户能否访问特定URL:

<div sec:authorize-url="/admin">

  This will only be displayed if authenticated user can call the "/admin" URL.

</div>

对于指定特定的HTTP方法,可以这样做:

<div sec:authorize-url="POST /admin">

  This will only be displayed if authenticated user can call the "/admin" URL

  using the POST HTTP method.

</div>

最后,有一个使用Spring Security的访问控制列表检查授权的属性,它需要一个域对象的规范和我们要求的在它上定义的权限。

<div sec:authorize-acl="${obj} :: '1,3'">

  This will only be displayed if authenticated user has permissions "1" and "3"

  on domain object referenced by context variable "obj".

</div>

在上面的属性中,域对象和权限规范都是thymeleaf标准表达式。

命名空间

所有版本方言都可用的命名空间是http://www.thymeleaf.org/extras/spring-security

<html xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

错误的命名空间不会影响模板处理,它可能会影响在IDE中编辑模板时的建议和自动补全。

【翻译】Thymeleaf – Spring Security集成模块的更多相关文章

  1. 【翻译】Spring Security抛弃了WebSecurityConfigurerAdapter

    原文链接:Spring Security without the WebSecurityConfigurerAdapter 作者:ELEFTHERIA STEIN-KOUSATHANA 发表日期:20 ...

  2. 【翻译】Spring Security - 如何解决WebSecurityConfigurerAdapter类已被弃用的问题?

    原文链接:Spring Security - How to Fix WebSecurityConfigurerAdapter Deprecated 原文作者:Nam Ha Minh 原文发表日期:20 ...

  3. SpringBoot集成Spring Security(授权与认证)

    ⒈添加starter依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifact ...

  4. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  5. Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息

    [Please make sure to select the branch corresponding to the version of Thymeleaf you are using] Stat ...

  6. Spring Security(一):官网向导翻译

    原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture   ...

  7. SpringBoot + Spring Security 学习笔记(一)自定义基本使用及个性化登录配置

    官方文档参考,5.1.2 中文参考文档,4.1 中文参考文档,4.1 官方文档中文翻译与源码解读 SpringSecurity 核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) ...

  8. 从源码看Spring Security之采坑笔记(Spring Boot篇)

    一:唠嗑 鼓捣了两天的Spring Security,踩了不少坑.如果你在学Spring Security,恰好又是使用的Spring Boot,那么给我点个赞吧!这篇博客将会让你了解Spring S ...

  9. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...

随机推荐

  1. python 中matplotlib 绘图

    python 中matplotlib 绘图 数学建模需要,对于绘图进行简单学习 matpoltlib之类的包安装建议之间用anaconda 绘制一条y=x^2的曲线 #比如我们要绘制一条y=x^2的曲 ...

  2. 第六十六篇:Vue的watch侦听器

    好家伙,哇吃侦听器 1.watch侦听器 watch侦听器允许开发者监视数据的变化,从而针对数据的变化做特定的操作 1.1.侦听器的基本用法 <body> <div id=" ...

  3. Android平台RTMP/RTSP播放器开发系列--解码和绘制

    本文主要抛砖引玉,粗略介绍下Android平台RTMP/RTSP播放器中解码和绘制相关的部分(Github). 解码 提到解码,大家都知道软硬解,甚至一些公司觉得硬解码已经足够通用,慢慢抛弃软解了,如 ...

  4. KingbaseES R6 集群 recovery 参数对切换的影响

    案例说明:在KingbaseES R6集群中,主库节点出现宕机(如重启或关机),会产生主备切换,但是当主库节点系统恢复正常后,如何对原主库节点进行处理,保证集群数据的一致性和安全,可以通过对repmg ...

  5. OpenFOAM 编程 | One-Dimensional Transient Heat Conduction

    0. 写在前面 本文中将对一维瞬态热传导问题进行数值求解,并基于OpenFOAM类库编写求解器.该问题参考自教科书\(^{[1]}\)示例 8.1. 1. 问题描述 一维瞬态热传导问题控制方程如下 \ ...

  6. 输入法词库解析(一)百度自定义方案.def

    详细代码:https://github.com/cxcn/dtool 前言 .def 是百度手机输入法-更多设置-自定义输入方案所使用的格式. 解析 码表偏移量 0x6D # 占用字节数 描述 a 1 ...

  7. 当 EDA 遇到 Serverless,亚马逊云科技出招了

    近二三十年来,软件开发领域毫无疑问是发展最为迅速的行业之一. 在上个世纪九十年代,世界上市值最高的公司大多是资源类或者重工业类的公司,例如埃克森美孚或者通用汽车,而现在市值最高的公司中,纯粹的软件公司 ...

  8. Kubernetes 多租户:多租户介绍

    多租户集群由多个用户和/或工作负载共享,这些用户和/或工作负载被称为"租户".多租户集群的运营方必须将租户彼此隔离,以最大限度地减少被盗用的租户或恶意租户可能对集群和其他租户造成的 ...

  9. 知识图谱实体对齐1:基于平移(translation)的方法

    1 导引 在知识图谱领域,最重要的任务之一就是实体对齐 [1](entity alignment, EA).实体对齐旨在从不同的知识图谱中识别出表示同一个现实对象的实体.如下图所示,知识图谱\(\ma ...

  10. 谣言检测(RDEA)《Rumor Detection on Social Media with Event Augmentations》

    论文信息 论文标题:Rumor Detection on Social Media with Event Augmentations论文作者:Zhenyu He, Ce Li, Fan Zhou, Y ...