堆棧內存溢出
  簡體   English   中英

Grails檢查特定控制器操作的角色訪問權限

[英]Grails check role access for specific controller action

 原文  2014-07-03 08:52:31       spring/ grails/ spring-security/ user-permissions/ user-roles

問題描述

我需要顯示/隱藏操作按鈕,具體取決於用戶是否可以訪問(通過角色定義)特定控制器/操作。 我正在使用Spring Security插件。

我的目標是為每個控制器的每個方法使用注釋@Secured(“ROLE _...”),並且在調用操作之前,我正在尋找一種檢查方法,如果用戶有權訪問此特定操作。 我猜有辦法檢查這個,因為注釋帶來的信息,但我找不到任何解決方案。

在這個例子中,我試圖找到HASACCESS方法:

帶有@Secured注釋的控制器 

    class MyExampleController{

      @Secured("ROLE_ADMIN")
      def myMethod(){ do stuff.. }

    }

要包含de link的HTML代碼 

    <role:link controller="myExample" action="myMethod">Action</role:link>

和我的tagLib角色 

    class RoleTagLib {
     static namespace = "role"

      def link = {attrs, body ->
        User user = (User) springSecurityService.currentUser          
        if(HASACCESS(user, attrs.controller, attrs.action)){
          out << g.link(attrs, body)
        }
      }
    }

我在這個線程中找到了包含在SecurityTagLib中的“hasAccess()”方法,但是這個方法受到保護,即使我用我的擴展SecurityTagLib,這個方法的調用也會返回“沒有簽名方法......”。 我認為它使用Config.groovy中定義的interceptUrlMap而不是注釋。

編輯:我成功擴展安全tagLib並使用“hasAccess”方法,但它似乎只使用Config.groovy中包含的interceptUrlMap,並不關心我放在控制器中的注釋。

3 個解決方案

解決方案1
 5  2014-07-03 08:56:47

使用 

<sec:ifAllGranted roles="ROLE_ADMIN,ROLE_SUPERVISOR">
  secure stuff here
</sec:ifAllGranted>

要么 

<sec:ifAnyGranted roles="ROLE_ADMIN,ROLE_SUPERVISOR">
    secure stuff here
</sec:ifAnyGranted>

根據Spring Security Core Grails插件文檔

或者只需將Spring安全核心taglib與您的標記庫一起使用即可。 

class RoleTagLib {
  static namespace = "role"

  SpringSecurityService springSecurityService

  def link = { attrs, body ->
    User user = (User) springSecurityService.currentUser          
    sec.ifAnyGranted(roles: 'ROLE_ADMIN,ROLE_SUPERVISOR'){
      out << g.link(attrs, body)
    }
  }
}

解決方案2
 2 已采納  2014-07-04 08:13:50

好的,我找到了解決方案。 SecurityTagLib中的方法“hasAccess”基於Config.groovy中的grails.plugins.springsecurity.securityConfigType 我的初始值是SecurityConfigType.InterceptUrlMap ,然后我會定義每個可訪問的url並指定哪個角色可以在grails.plugins.springsecurity.interceptUrlMap中手動訪問每個url。

解決方案是將其更改為SecurityConfigType.Annotation並將interceptUrlMap修改為staticRules 然后方法“hasAccess”基於控制器中定義的注釋,並且可以使用我的tagLib從SecurityTagLib包裝來正確隱藏內容。

Config.groovy中有代碼 

    grails.plugins.springsecurity.securityConfigType = SecurityConfigType.Annotation
    grails.plugins.springsecurity.staticRules = [
      ... your rules ... for example:
      '/**': ['ROLE_ADMIN_ACCESS'] 
    ]

我的tagLib的代碼 

    class RoleTagLib extends SecurityTagLib {

        static namespace = "role"

        def link = { attrs, body ->
            if (hasAccess(attrs.clone(), "link")) {
                out << g.link(attrs, body)
            }
        }
    }

我使用它來顯示或隱藏我的.gsp文件中的任何鏈接,基於為每個控制器的每個操作放置的@Secured注釋 

    <role:link controller="myController" action="myAction">
      Action
    </role:link>

解決方案3
 0  2018-02-16 11:24:07

這是為Grails 2.3

要檢查其他控制器或服務的操作訪問,請執行以下操作: 

@Secured(["ONE_OF_MY_ROLES"])
class SomeController {

    SecurityTagLib securityTagLib = (SecurityTagLib)Holders.grailsApplication.mainContext.getBean('grails.plugins.springsecurity.SecurityTagLib')

    def show() {
        def access = securityTagLib.hasAccess([controller: 'product', action: 'show'], 'access')
    }
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用Spring Security Rest插件使Grails控制器動作具有公共訪問權限 在單個grails應用程序上有多個域,而在第二個域上只能訪問一個特定的控制器? Spring安全性:拒絕訪問特定角色的資源 使用特定角色管理Spring Security訪問頁面 Grails 2.4.5:你如何創建一個 Grails REST controller 沒有鏈接到任何域和一個返回 object 不是域 class 的操作? 我想將特定的一個角色名稱從下拉列表發送到控制器上的提交按鈕操作 Grails應用程序,可從Java DAO服務訪問數據庫-如何在Controller中訪問服務? 使用Paramerters重定向到控制器操作時無法訪問redirectAttributes 控制器中出現Grails UnexpectedRollbackException 使用 Spring Security 限制對新引入的角色的控制器類中某些方法的訪問
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM