跳到主要内容
版本:7.0.2

JSP 标签库

DeepSeek V3 中英对照 JSP Taglib JSP Tag Libraries

声明标签库

要使用任何标签,您必须在JSP中声明安全标签库:

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

authorize 标签

此标签用于确定其内容是否应被求值。在 Spring Security 3.0 中,它有两种使用方式。

备注

Spring Security 2.0 的遗留选项也受支持,但不推荐使用。

第一种方法使用Web安全表达式,该表达式在标签的 access 属性中指定。表达式评估委托给应用程序上下文中定义的 SecurityExpressionHandler<FilterInvocation>(您应在 <http> 命名空间配置中启用 Web 表达式以确保此服务可用)。例如,您可能会这样配置:

<sec:authorize access="hasRole('supervisor')">

This content will only be visible to users who have the "supervisor" authority in their list of <tt>GrantedAuthority</tt>s.

</sec:authorize>

当与 Spring Security 的 PermissionEvaluator 结合使用时,该标签也可用于检查权限:

<sec:authorize access="hasPermission(#domain,'read') or hasPermission(#domain,'write')">

This content will only be visible to users who have read or write permission to the Object found as a request attribute named "domain".

</sec:authorize>

一个常见需求是仅显示特定链接,前提是用户确实被允许点击它。我们如何提前判断某个操作是否被允许?该标签也可在另一种模式下运行,允许您将特定URL定义为属性。如果用户被允许调用该URL,则评估标签体内容;否则跳过。因此您可能会看到类似这样的代码:

<sec:authorize url="/admin">

This content will only be visible to users who are authorized to send requests to the "/admin" URL.

</sec:authorize>

要使用此标签,必须在应用程序上下文中同时拥有一个 WebInvocationPrivilegeEvaluator 实例。如果使用命名空间配置,系统会自动注册一个实例。该实例为 DefaultWebInvocationPrivilegeEvaluator,它会为提供的 URL 创建一个虚拟 Web 请求,并调用安全拦截器来判断请求会成功还是失败。这样您就可以委托给通过 <http> 命名空间配置中的 intercept-url 声明所定义的访问控制设置,从而避免在 JSP 中重复这些信息(例如所需角色)。您还可以将此方法与 method 属性(提供 HTTP 方法,例如 POST)结合使用,以实现更精确的匹配。

您可以通过将 var 属性设置为变量名,将评估标签的布尔结果(无论它是授予还是拒绝访问)存储在页面上下文范围的变量中,从而避免在页面的其他位置重复和重新评估该条件。

为测试禁用标签授权

在页面中为未授权用户隐藏链接并不能阻止他们访问该URL。例如,他们可以直接在浏览器中输入该链接。作为测试流程的一部分,你可能需要显示隐藏区域,以检查链接在后端是否确实得到了保护。如果将 spring.security.disableUISecurity 系统属性设置为 trueauthorize 标签仍会运行,但不会隐藏其内容。默认情况下,它还会用 <span class="securityHiddenUI">…​</span> 标签包裹内容。这使你可以通过特定的 CSS 样式(例如不同的背景颜色)来显示“隐藏”内容。例如,尝试在启用此属性的情况下运行“tutorial”示例应用程序。

您也可以设置 spring.security.securedUIPrefixspring.security.securedUISuffix 属性,以更改默认 span 标签的环绕文本(或使用空字符串将其完全移除)。

认证标签

此标签允许访问存储在安全上下文中的当前 Authentication 对象。它直接在 JSP 中渲染该对象的属性。例如,如果 Authenticationprincipal 属性是 Spring Security 的 UserDetails 对象的实例,那么使用 <sec:authentication property="principal.username" /> 将渲染当前用户的名称。

当然,对于这类需求,并非必须使用 JSP 标签。有些人更倾向于在视图中尽可能少地包含逻辑。你可以在 MVC 控制器中访问 Authentication 对象(通过调用 SecurityContextHolder.getContext().getAuthentication()),然后将数据直接添加到模型中,供视图渲染使用。

accesscontrollist 标签

此标签仅在配合 Spring Security 的 ACL 模块使用时有效。它会检查指定领域对象所需的权限列表(以逗号分隔)。如果当前用户拥有所有列出的权限,则执行标签体内容;否则跳过该部分。

警告

通常来说,此标签应被视为已弃用。请改用 authorize 标签

以下清单展示了一个示例:

<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">

<!-- This will be shown if the user has all of the permissions represented by the values "1" or "2" on the given object. -->

</sec:accesscontrollist>

权限会被传递给应用程序上下文中定义的 PermissionFactory,将其转换为 ACL 的 Permission 实例,因此它们可以是工厂支持的任何格式。这些权限不必是整数,也可以是诸如 READWRITE 这样的字符串。如果未找到 PermissionFactory,则会使用 DefaultPermissionFactory 的实例。应用程序上下文中的 AclService 用于加载所提供对象的 Acl 实例。随后会调用 Acl 并传入所需的权限,以检查是否所有权限均已授予。

此标签同样支持 var 属性,其使用方式与 authorize 标签相同。

csrfInput 标签

如果启用了CSRF保护,此标签会插入一个隐藏的表单字段,其中包含CSRF保护令牌的正确名称和值。如果未启用CSRF保护,此标签不会输出任何内容。

通常情况下,Spring Security 会自动为所有使用的 <form:form> 标签插入一个 CSRF 表单字段。但如果你因某些原因无法使用 <form:form>csrfInput 便是一个便捷的替代方案。

你应该将这个标签放置在HTML的<form></form>块中,通常与其他输入字段放在一起。不要将其放在Spring的<form:form></form:form>块内。Spring Security会自动处理Spring表单。以下示例展示了具体用法:

<form method="post" action="/do/something">
		<sec:csrfInput />
		Name:<br />
		<input type="text" name="name" />
		...
	</form>

csrfMetaTags 标签

如果启用了CSRF保护,此标签会插入包含CSRF保护令牌表单字段和标头名称以及CSRF保护令牌值的元标签。这些元标签有助于在应用程序的JavaScript中实施CSRF保护。

你应该将 csrfMetaTags 放置在 HTML 的 <head></head> 块中,通常这里也是放置其他元标签的地方。一旦使用了这个标签,你就可以通过 JavaScript 访问表单字段名、请求头名和令牌值。本示例使用 JQuery 来简化操作。以下清单展示了一个示例:

<!DOCTYPE html>
<html>
	<head>
		<title>CSRF Protected JavaScript Page</title>
		<meta name="description" content="This is the description for this page" />
		<sec:csrfMetaTags />
		<script type="text/javascript" language="javascript">

			var csrfParameter = $("meta[name='_csrf_parameter']").attr("content");
			var csrfHeader = $("meta[name='_csrf_header']").attr("content");
			var csrfToken = $("meta[name='_csrf']").attr("content");

			// using XMLHttpRequest directly to send an x-www-form-urlencoded request
			var ajax = new XMLHttpRequest();
			ajax.open("POST", "https://www.example.org/do/something", true);
			ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded data");
			ajax.send(csrfParameter + "=" + csrfToken + "&name=John&...");

			// using XMLHttpRequest directly to send a non-x-www-form-urlencoded request
			var ajax = new XMLHttpRequest();
			ajax.open("POST", "https://www.example.org/do/something", true);
			ajax.setRequestHeader(csrfHeader, csrfToken);
			ajax.send("...");

			// using JQuery to send an x-www-form-urlencoded request
			var data = {};
			data[csrfParameter] = csrfToken;
			data["name"] = "John";
			...
			$.ajax({
				url: "https://www.example.org/do/something",
				type: "POST",
				data: data,
				...
			});

			// using JQuery to send a non-x-www-form-urlencoded request
			var headers = {};
			headers[csrfHeader] = csrfToken;
			$.ajax({
				url: "https://www.example.org/do/something",
				type: "POST",
				headers: headers,
				...
			});

		<script>
	</head>
	<body>
		...
	</body>
</html>

如果未启用CSRF保护,csrfMetaTags 将不输出任何内容。