我需要显示/隐藏操作按钮,具体取决于用户是否可以访问(通过角色定义)特定控制器/操作 . 我正在使用Spring Security插件 .
我的目标是为每个控制器的每个方法使用注释@Secured(“ROLE _...”),并且在调用操作之前,我正在寻找一种检查方法,如果用户有权访问此特定操作 . 我猜有办法检查这个,因为注释带来的信息,但我找不到任何解决方案 .
在这个例子中,我试图找到HASACCESS方法:
带有@Secured注释的控制器
class MyExampleController{
@Secured("ROLE_ADMIN")
def myMethod(){ do stuff.. }
}
要包含de link的HTML代码
<role:link controller="myExample" action="myMethod">Action</role:link>
和我的tagLib角色
class RoleTagLib {
static namespace = "role"
def link = {attrs, body ->
User user = (User) springSecurityService.currentUser
if(HASACCESS(user, attrs.controller, attrs.action)){
out << g.link(attrs, body)
}
}
}
我在this thread中找到了包含在SecurityTagLib中的"hasAccess()"方法但该方法受到保护,即使我使用此方法调用SecurityTagLib,也会返回"No signature of method..." . 我认为它使用Config.groovy中定义的interceptUrlMap而不是注释 .
编辑:我成功扩展安全tagLib并使用“hasAccess”方法,但它似乎只使用Config.groovy中包含的interceptUrlMap,并不关心我放在控制器中的注释 .
3 回答
使用
要么
根据Spring Security Core Grails plugin documentation .
或者只需将Spring安全核心taglib与您的标记库一起使用即可 .
好的,我找到了解决方案 . SecurityTagLib中的方法"hasAccess"基于Config.groovy中的 grails.plugins.springsecurity.securityConfigType . 我的初始值是 SecurityConfigType.InterceptUrlMap 然后我会定义每个可访问的URL并指定哪个角色可以在 grails.plugins.springsecurity.interceptUrlMap 中手动访问每个URL
解决方案是将其更改为 SecurityConfigType.Annotation 并将interceptUrlMap修改为staticRules . 然后方法"hasAccess"基于控制器中定义的注释,并且可以使用从SecurityTagLib包装的tagLib正确隐藏内容 .
Config.groovy中有代码
我的tagLib的代码
我使用它来显示或隐藏我的.gsp文件中的任何链接,基于为每个控制器的每个操作放置的@Secured注释
这是为Grails 2.3
要检查其他控制器或服务的操作访问,请执行以下操作: