没有 Spring 标记库 (JSTL) 的 Spring Security

【问题标题】:Spring Security without Spring Tag Library (JSTL)没有 Spring 标记库 (JSTL) 的 Spring Security
【发布时间】:2014-05-01 20:49:06
【问题描述】:

我们有一个使用 Spring Security 和 JSP 的典型 Web 应用程序。我们使用标准的 Spring Security 标签库来显示/隐藏、允许/限制基于用户角色的网页部分。

现在我们要更改 JSP 部分并编写一个完整的基于 Javascript 的客户端。

  1. 有没有办法通过 Javascript 获得标签库提供的类似功能。
  2. 如果不是,在 Javascript 中实现我们自己的机制时我们应该担心哪些事情。

谢谢, 伊什

【问题讨论】:

    标签: javascript spring spring-security


    【解决方案1】:

    如果您的问题是“Spring Security 是否有与 JSP 标签等效的 Javascript”,那么答案肯定是“否”。明显的区别是 Javascript 在客户端运行,而 JSP 在服务器上执行,因此您不能仅仅依靠使用 Javascript 库隐藏敏感信息,因为这不安全。

    Javascript 客户端完全不同,安全性很可能在您向其公开的 API 中实现,以允许它从服务器检索数据。它将包括应用于 URL 和服务器端方法的安全约束,而不是与显示技术有任何关系,因此在某些方面它比 JSP 安全更容易测试和推理,因为它与实际显示分离代码。

    【讨论】:

    • 感谢您的回复。因此,如果我的应用程序中有一个名为“管理”项目的菜单,它只能供服务器管理员访问,我应该向每个用户展示它,并在请求到达服务器端后显示一条消息“你不被允许”,如果他/她不是管理员。
    • 不,我会说您只会向具有管理员角色的人显示该项目。如果您使用的是类似 REST 的 API,那么菜单可能是对服务器的请求的结果,而您返回的链接将取决于用户的角色。
    猜你喜欢
    • 2013-04-12
    • 2014-03-17
    • 2016-04-14
    • 2016-04-09
    • 2014-12-25
    • 1970-01-01
    • 2017-01-27
    • 1970-01-01
    • 2021-01-16
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode