如何在 Spring Security 4 中根据角色授权链接

Question

我正在尝试根据角色授权链接。

我的页面：

<c:if test="${pageContext.request.userPrincipal.name==null}">
    <li> <a href="<c:url value="/registration"/>"><span class="glyphicon glyphicon-user">Register</span></a> </li>
    <li> <a href="<c:url value="/login"/>"><span class="glyphicon glyphicon-lock">Login</span></a> </li>    
</c:if>

<c:if test="${pageContext.request.userPrincipal.name!=null}">

     <security:authorize access="ROLE_USER">
         <li><a href="cart.jsp"><span class="glyphicon glyphicon-shopping-cart">CART</span></a></li>
     </security:authorize>

     <li><a href="<c:url value="/j_spring_security_logout"></c:url>">logout</a></li>
</c:if>

我收到以下异常：

with root cause
org.springframework.expression.spel.SpelEvaluationException:
    EL1008E:(pos 0): Property or field 'ROLE_USER' cannot be found on object of type 
    'org.springframework.security.web.access.expression.WebSecurityExpressionRoot' - maybe not public?

Answer 1

试试这个..而不是<security:authorize access="ROLE_USER">

<security:authorize access="hasRole('ROLE_USER')">

Answer 2

您必须使用网络安全表达式，请参阅Spring Security Reference：

30.2 授权标签

此标签用于确定是否应评估其内容。在 Spring Security 3.0 中，它可以以两种方式使用 [21]。第一种方法使用在标记的access 属性中指定的网络安全表达式。表达式评估将委托给应用程序上下文中定义的SecurityExpressionHandler<FilterInvocation>（您应该在<http> 命名空间配置中启用Web 表达式以确保此服务可用）。因此，例如，您可能有

<sec:authorize access="hasRole('supervisor')">

    This content will only be visible to users who have the "supervisor" authority in their list of <tt>GrantedAuthority</tt>s.

</sec:authorize>

ROLE_USER 没有内置的网络安全表达式（请参阅Spring Security Reference），请改用hasRole('USER')，请参阅SecurityExpressionRoot#hasRole：

确定SecurityExpressionOperations.getAuthentication() 在Authentication.getAuthorities() 中是否具有特定权限。

这类似于SecurityExpressionOperations.hasAuthority(String)，只是这个方法暗示传入的String是一个角色。例如，如果在实现中传递了“USER”，则可以将其转换为使用“ROLE_USER”。角色转换的方式可能取决于实现设置。