Spring Security JSP 标签库

2025年3月18日 | 阅读 5 分钟

Spring Security 为 JSP 页面提供自己的标签。这些标签用于访问安全信息并在 JSP 中应用安全约束。

以下标签用于保护应用程序的视图层。

授权标签
身份验证标签
Accesscontrollist 标签
Csrfinput 标签
CsrfMetaTags 标签

授权标签

此标签用于授权目的。此标签评估并检查请求是否已授权。

它使用两个属性 access 和 URL 来检查请求授权。我们可以传递用户的角色来评估此标签。

只有在属性满足时，才会显示此标签内写入的内容。例如。

<sec:authorize access="hasRole('ADMIN')">
It will display only is user is admin
</sec:authorize>

身份验证标签

此标签用于访问存储在安全上下文中的身份验证。如果 Authentication 是 UserDetails 对象的实例，则可以使用它来获取当前用户详细信息。例如。

Accesscontrollist 标签

此标签与 Spring Security 的 ACL 模块一起使用。它检查指定域所需的权限列表。仅当当前用户拥有所有权限时才执行。例如。

<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">
 If user has all the permissions represented by the values "1" or "2" on the given object.
</sec:accesscontrollist>

CsrfInput 标签

此标签用于为 HTML 表单创建 CSRF 令牌。要使用它，请确保启用了 CSRF 保护。我们应该将此标签放在 <form></form> 标签内以创建 CSRF 令牌。例如。

<form method="post" action="/some/action">
                <sec:csrfInput />
                Name:<br />
                <input type="text" name="username" />
                ...
        </form>

CsrfMetaTags 标签

它插入包含 CSRF 令牌、表单字段、标头名称和 CSRF 令牌值的元标记。这些值有助于在应用程序的 JavaScript 中设置 CSRF 令牌。

此标签应放置在 HTML <head> 标签内。

Spring Security Taglib JAR

要实现这些标签中的任何一个，我们的应用程序中必须有 spring security taglib jar。也可以使用以下 maven 依赖项添加它。

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>5.0.4.RELEASE</version>
</dependency>

Spring Security Taglib 声明

在 JSP 页面中，我们可以使用以下声明使用 taglib。

现在，让我们看一个在 spring security maven 项目中实现这些标签的例子。

我们使用 STS (Spring Tool Suite) 创建项目。请看例子。

创建项目

单击完成按钮，它将创建一个如下所示的 maven 项目

Spring Security 配置

要在 Spring MVC 应用程序中配置 Spring Security，请将以下四个文件放在 com.javatpoint 文件夹中。

AppConfig.java

package com.javatpoint;
import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.ComponentScan;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.EnableWebMvc;  
import org.springframework.web.servlet.view.InternalResourceViewResolver;  
import org.springframework.web.servlet.view.JstlView;  
  
@EnableWebMvc  
@Configuration  
@ComponentScan({ "com.javatpoint.controller.*" })  
public class AppConfig {  
    @Bean  
    public InternalResourceViewResolver viewResolver() {  
        InternalResourceViewResolver viewResolver  
                          = new InternalResourceViewResolver();  
        viewResolver.setViewClass(JstlView.class);  
        viewResolver.setPrefix("/WEB-INF/views/");  
        viewResolver.setSuffix(".jsp");  
        return viewResolver;  
    }  
}

AppConfig 用于设置视图文件的视图位置后缀。

// MvcWebApplicationInitializer.java

package com.javatpoint;

import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;  
public class MvcWebApplicationInitializer extends  
        AbstractAnnotationConfigDispatcherServletInitializer {  
    @Override  
    protected Class<?>[] getRootConfigClasses() {  
        return new Class[] { WebSecurityConfig.class };  
    }  
    @Override  
    protected Class<?>[] getServletConfigClasses() {  
        // TODO Auto-generated method stub  
        return null;  
    }  
    @Override  
    protected String[] getServletMappings() {  
        return new String[] { "/" };  
    }  
}

此类用于初始化 servlet 调度程序。

// SecurityWebApplicationInitializer.java

package com.javatpoint;
import org.springframework.security.web.context.*;  
public class SecurityWebApplicationInitializer  
    extends AbstractSecurityWebApplicationInitializer {  
  
}  

再创建一个类，用于创建用户并在用户可访问性上应用身份验证和授权。

// WebSecurityConfig.java

package com.javatpoint;

import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;  
import org.springframework.security.config.annotation.web.configuration.*;  
import org.springframework.security.core.userdetails.*;
import org.springframework.security.core.userdetails.User.UserBuilder;  
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
@EnableWebSecurity  
@ComponentScan("com.javatpoint")  
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {  
  
@Bean  
public UserDetailsService userDetailsService() {
	// ensure the passwords are encoded properly
	 UserBuilder users = User.withDefaultPasswordEncoder();
	 InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
	 manager.createUser(users.username("mohan").password("1mohan23").roles("USER").build());
	 manager.createUser(users.username("admin").password("admin123").roles("ADMIN").build());
	 return manager;
	} 
  
@Override  
protected void configure(HttpSecurity http) throws Exception {  
	  
	  http.authorizeRequests().
	  antMatchers("/index","/").permitAll()
	  .antMatchers("/admin","/user").authenticated()
	  .and()
	  .formLogin()
	  .and()
	  .logout()
	  .logoutRequestMatcher(new AntPathRequestMatcher("/logout"));
	    
}  
}

控制器

现在，创建一个控制器来处理请求并响应。

// HomeController.java

package com.javatpoint.controller;
import org.springframework.stereotype.Controller;  
import org.springframework.web.bind.annotation.RequestMapping;  
import org.springframework.web.bind.annotation.RequestMethod;
@Controller  
public class HomeController {  
    @RequestMapping(value="/", method=RequestMethod.GET)  
    public String index() {  
        return "index";  
    }  
    @RequestMapping(value="/user", method=RequestMethod.GET)  
    public String user() {  
       return "admin";
    }  
    @RequestMapping(value="/admin", method=RequestMethod.GET)  
    public String admin() {  
          
        return "admin";  
    }
}  

视图 (View)

创建视图 (jsp) 文件以向用户显示输出。我们创建了三个 JSP 文件，请参见下文。

// index.jsp

<html>  
<head>  
<title>Home Page</title>  
</head>  
<body>  
<a href="user">User</a> <a href="admin">Admin</a> <br> <br>
Welcome to Javatpoint!  
</body>  
</html> 

// user.jsp

<html>  
<head>  
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
<title>Home Page</title>  
</head>  
<body>  
Welcome to user page!  
</body>  
</html> 

// admin.jsp

在管理页面中，我们使用了 authorize 标签，该标签仅在给定的角色满足时才进行评估。

<%@ taglib uri="http://www.springframework.org/security/tags" prefix="security" %><html>  
<head>  
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> 
<title>Home Page</title>  
</head>  
<body>  
Welcome to admin page!
<a href="logout">logout</a> <br><br>
<security:authorize access="hasRole('ADMIN')">
Hello ADMIN
</security:authorize>
<security:csrfInput/>
</body>  
</html> 

项目依赖项

我们的项目包含构建应用程序所需的以下依赖项。

// pom.xml

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.javatpoint</groupId>
  <artifactId>springtaglibrary</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <packaging>war</packaging>
  <properties>  
    <maven.compiler.target>1.8</maven.compiler.target>  
    <maven.compiler.source>1.8</maven.compiler.source>  
</properties>  
<dependencies>  
  <dependency>  
            <groupId>org.springframework</groupId>  
            <artifactId>spring-webmvc</artifactId>  
            <version>5.0.2.RELEASE</version>  
        </dependency>  
        <dependency>  
        <groupId>org.springframework.security</groupId>  
        <artifactId>spring-security-web</artifactId>  
        <version>5.0.0.RELEASE</version>  
    </dependency>  
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.0.4.RELEASE</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-taglibs -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>5.0.4.RELEASE</version>
</dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>5.0.4.RELEASE</version>
</dependency>
        <!-- https://mvnrepository.com/artifact/javax.servlet/javax.servlet-api -->  
<dependency>  
    <groupId>javax.servlet</groupId>  
    <artifactId>javax.servlet-api</artifactId>  
    <version>3.1.0</version>  
    <scope>provided</scope>  
</dependency>  
<dependency>  
    <groupId>javax.servlet</groupId>  
    <artifactId>jstl</artifactId>  
    <version>1.2</version>  
</dependency>  
<!-- https://mvnrepository.com/artifact/org.springframework/spring-framework-bom -->
</dependencies>  
  <build>  
    <plugins>  
        <plugin>  
            <groupId>org.apache.maven.plugins</groupId>  
            <artifactId>maven-war-plugin</artifactId>  
            <version>2.6</version>  
            <configuration>  
                <failOnMissingWebXml>false</failOnMissingWebXml>  
            </configuration>  
        </plugin>  
    </plugins>  
</build>  
</project>

添加所有这些文件后，我们的项目看起来像这样

运行应用程序

右键单击项目并选择在服务器上运行。它向浏览器显示以下输出。

单击用户，并通过提供在 AppSecurityConfig 文件中设置的凭据来登录。

成功登录后，它会显示如下所示的管理页面。在这里，请注意，由于登录用户具有角色 USER，因此不会显示在 authorize 标签内编写的内容。

注销，现在以管理员身份登录，提供管理员凭据。

以管理员身份登录后，这次查看 authorize 标签的评估，并显示以下输出。

下载示例

下一主题#

Spring Security JSP 标签库

授权标签

身份验证标签

Accesscontrollist 标签

CsrfInput 标签

CsrfMetaTags 标签

Spring Security Taglib JAR

Spring Security Taglib 声明

创建项目

Spring Security 配置

控制器

视图 (View)

项目依赖项

运行应用程序

联系信息

关注我们

教程

面试题

在线编译器

Python

Java

.Net Framework

AI, ML and Data Science

Cloud Technology

B.Tech and MCA

Web Technology

PHP

Software Testing

Technical Interview

Java Interview

Python

Web Interview

Database Interview

B.Tech / MCA

Important Interview

Software Testing Interview

Company Interviews

Online Compilers

Multiple Choice Questions

Spring 教程

IDE 中的 Spring

依赖注入

Spring JdbcTemplate

Spring AOP

Spring ORM

SPEL

Spring MVC

MVC 表单标签库

MVC 应用

Spring MVC 验证

MVC Tiles

Spring Remoting

Spring OXM

Spring Java Mail

Spring Web

Spring Security 教程

Spring 面试

Spring 测验

Spring Boot

Spring + Angular

其他

Spring Security JSP 标签库

授权标签

身份验证标签

Accesscontrollist 标签

CsrfInput 标签

CsrfMetaTags 标签

Spring Security Taglib JAR

Spring Security Taglib 声明

创建项目

Spring Security 配置

控制器

视图 (View)

项目依赖项

运行应用程序

相关帖子

Sp Security 介绍

Spring Security 教程

基于表单的身份验证

Security 项目模块

Spring Security Java 示例

Spring Security 记住我

Spring Security 特性

Spring Security 自定义登录

Spring Security 登录注销

方法级别的安全性

订阅 Tpoint Tech

联系信息

关注我们

教程

面试题

在线编译器