春のセキュリティアクセス制御の例
Spring Securityでは、アクセス制御や許可は簡単に実装できます。次のコードスニペットを参照してください。
<http auto-config="true">
<intercept-url pattern="/admin** " access="ROLE__ADMIN"/>
</http>
つまり、「
ROLE__ADMIN
」の権限を持つユーザーのみがURI
/admin
にアクセスできます。権限のないユーザーがアクセスしようとすると、「
http 403アクセス拒否ページ** 」が表示されます。
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/admin** " access="hasRole('ROLE__ADMIN')"/>
</http>
このチュートリアルでは、Spring Securityを使用して ”
/admin
“というURLへのアクセス制御を実装する方法を説明します。ここでは、
ROLE__ADMIN ** で許可されたユーザーのみがこのページにアクセスできます。
プロジェクトの依存関係
アクセス制御は、Spring Security JARのコアに含まれています。必要な依存関係のリストについては、このリンクを参照してください。//spring-security/spring-security-hello-world-example/[Spring Security hello world example]
2. Spring MVC
SpringのMVCコントローラと “hello”ビューを返す、それは自明である必要があります。
File:WelcomeController.java
package com.mkyong.common.controller;
import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
@Controller
public class WelcomeController {
@RequestMapping(value = "/admin", method = RequestMethod.GET)
public String welcomeAdmin(ModelMap model) {
model.addAttribute("message", "Spring Security - ROLE__ADMIN");
return "hello";
}
}
File:hello.jsp
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<body>
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<ins class="adsbygoogle"
style="display:block"
data-ad-client="ca-pub-2836379775501347"
data-ad-slot="8821506761"
data-ad-format="auto"
data-ad-region="mkyongregion"></ins>
<script>
(adsbygoogle = window.adsbygoogle ||[]).push({});
</script><h2>Message : ${message}</h2>
<a href="<c:url value="j__spring__security__logout"/>" > Logout</a>
</body>
</html>
3.春のセキュリティ
フルスプリングのセキュリティ設定では、ユーザー ”
eclipse
“のみが ”
/admin
“ページにアクセスできます。
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.3.xsd">
<http auto-config="true">
<intercept-url pattern="/admin** " access="ROLE__ADMIN"/>
<logout logout-success-url="/admin"/>
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="mkyong" password="password" authorities="ROLE__USER"/>
<user name="eclipse" password="password" authorities="ROLE__ADMIN"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
4.デモ
{空} 1。デフォルトのログインフォームが表示されます。
{空} 2。 「
mkyong
」がログインしている場合、「
mkyong
」は「
ROLE__USER
」であるため、「
http 403はアクセス拒否ページ
」と表示されます。
{空} 3。ユーザー ”
eclipse
“がログインしている場合、 ”
eclipse
“は ”
ROLE__ADMIN
“であるため ”
hello.jsp
“が表示されます。
-
403ページをカスタマイズ** デフォルトの403ページは醜いです、この例を読んでください – リンク://spring-security/customize-http-403-access-denied-page-in-spring-security/[http 403アクセス拒否ページをカスタマイズする方法春の安全性]。
ソースコードをダウンロードする
ダウンロードする –
Spring-Security-AccessControl-例.zip
(10 KB)
参考文献
セキュリティ許可文書]。
http://static.springsource.org/spring-security/site/docs/3.0.x/reference/el-access.html
[Spring
セキュリティエルアクセスコントロールドキュメント]
