【翻译】Thymeleaf–SpringSecurity集成模块

2023年7月24日下午2:11 • 技术杂谈 • 阅读 69

来源：thymeleaf/thymeleaf-extras-springsecurity自述文件

这是一个Thymeleaf附加模块，不是Thymeleaf核心的一部分（因此它有自己的版本号），但是Thymeleaf团队提供全部支持。

这个仓库包含3个项目：

thymeleaf-extras-springsecurity5是与Spring Security 5.x相匹配的集成模块
thymeleaf-extras-springsecurity6是与Spring Security 6.x相匹配的集成模块

当前版本：

3.0.4.RELEASE适用于Thymeleaf 3.0（要求Thymeleaf版本高于或等于3.0.10）
2.1.3.RELEASE适用于Thymeleaf 2.1（要求Thymeleaf版本高于或等于2.1.2）

本软件按照Apache License 2.0提供许可。

要求（3.0.x）

Thymeleaf版本高于或等于3.0.10
Spring框架版本在3.0.x至5.1.x之间
Spring Security版本在3.0.x至5.1.x之间
联网环境（Spring Security集成不能离线工作）。还需要Spring MVC和Spring WebFlux才能工作。

Maven信息

groupId: org.thymeleaf.extras
artifactId:
Spring Security 5集成包： thymeleaf-extras-springsecurity5
Spring Security 6集成包： thymeleaf-extras-springsecurity6

分发包

模块提供名为 org.thymeleaf.extras.springsecurity5.dialect.SpringSecurityDialect或 org.thymeleaf.extras.springsecurity6.dialect.SpringSecurityDialect的新方言（具体是哪个方言取决于Spring Security版本），方言默认前缀是 sec。这些方言包括：

新的表达式工具对象：
#authentication表示Spring Security认证对象（一个实现了 org.springframework.security.core.Authentication接口的对象）
#authorization：一个表达式工具对象，可以根据表达式、url和访问控制列表检查授权。
新属性：
sec:authentication="prop"输出authentication对象的 prop属性值，这与JSP标签 <sec:authentication></sec:authentication>类似。
sec:authorize="expr"或 sec:authorize-expr="expr"根据用户能否通过expr表达式的授权验证，决定是否渲染该属性所在标签。（ sec:authorize="expr" or sec:authorize-expr="expr" renders the element children (tag content) if the authenticated user is authorized to see it according to the specified Spring Security expression.）（译注：上句翻译不贴合本意，是译者根据自己的使用体验写的，下面两句翻译可能也不贴合本意）
sec:authorize-url="url"根据用户能否访问特定URL决定是否渲染该属性所在标签。
sec:authorize-acl="object :: permissions"根据Spring Source的访问控制列表系统和用户对特定领域对象是否有指定权限来决定是否渲染属性所在标签。

为了在Spring MVC应用中使用thymeleaf-extras-springsecurity[5][6]模块（或者在Spring WebFlux应用中使用thymeleaf-extras-springsecurity6），对于使用Spring和Thymeleaf的应用首先需要使用通常的方式配置应用（TemplateEngine bean、模板解析器等等），然后将Spring Security方言添加到模板引擎中，这样就可以使用 sec:*属性和专用表达式工具对象：

以上就是全部内容了！

注意：如果是在Spring Boot应用中使用Thymeleaf，只需要把相应的Thymeleaf和Spring Security的starter以及 thymeleaf-extras-springsecurity[5|6]依赖添加到应用中，方言就自动配置好了。

使用表达式工具对象

#authentication对象使用起来很简单，就像下面这样：

#authorization也可以以同样的方式使用，通常用在 th:if或 th:unless标签中：

#authorization对象是 org.thymeleaf.extras.springsecurity[5|6].auth.Authorization类的实例，参阅该类与它的文档来理解它的方法。

使用属性

使用 sec:authentication属性基本等同于使用 #authentication对象，但是仅能使用该对象的属性：

sec:authorize和 sec:authorize-expr属性完全相同。它们和在 th:if中使用 #authorization.expression(...)效果相同：

这些 sec:authorize属性中的Spring安全表达式实际上是在springsecurity特定的根对象上计算的Spring EL表达式，根对象包含 hasRole(…)、 getPrincipal()等方法。（These Spring Security Expressions in sec:authorize attributes are in fact Spring EL expressions evaluated on a SpringSecurity-specific root object containing methods such as hasRole(...), getPrincipal(), etc.）

与普通的Spring EL表达式一样，可以在Thymeleaf中访问一系列对象，这些对象包括上下文变量映射（ #vars对象）。事实上，可以用 ${…}包围访问表达式，如果你觉得这样让你更舒服（译注：意思是不用 ${…}包围表达式也可以）：

记住，Spring Security将一个特殊的安全导向的对象设置为表达式根，这就是不能在上述表达式中直接访问 expctedRole变量的原因。

另一种检查授权的方式是 sec:authorize-url，可以用这个属性检查用户能否访问特定URL：

对于指定特定的HTTP方法，可以这样做：

最后，有一个使用Spring Security的访问控制列表检查授权的属性，它需要一个域对象的规范和我们要求的在它上定义的权限。

在上面的属性中，域对象和权限规范都是thymeleaf标准表达式。

命名空间

所有版本方言都可用的命名空间是 http://www.thymeleaf.org/extras/spring-security。

错误的命名空间不会影响模板处理，它可能会影响在IDE中编辑模板时的建议和自动补全。

Original: https://www.cnblogs.com/cnblog-user/p/16463599.html
Author: Halloworlds
Title: 【翻译】Thymeleaf–SpringSecurity集成模块

原创文章受到原创版权保护。转载请注明出处：https://www.johngo689.com/712896/

转载文章受原作者版权保护。转载请注明原作者出处！

技术杂谈

【自取】最近整理的，有需要可以领取学习：

Linux核心资料大放送~

全栈面试题汇总（持续更新&可下载）

一个提高学习100%效率的工具！

【超详细】深度学习面试题目！

LeetCode Python刷题答案下载！

LeetCode Java版刷题答案下载！

LeetCode C++ 版本，抓紧保存！

LeetCode GO语言刷题答案下载！

力扣刷题之路-括号匹配问题

括号匹配问题在力扣中有好几道，简单的括号匹配问题即一个左括号需要对应一个右括号，判断是否匹配或者需要加入几个左括号或右括号，此时的问题比较简单，当字符串中的字符只有一种类型的括号时…

技术杂谈 2023年7月11日
0080
错误域控降级导致解析问题

近两天在给分部安装辅助域控的时候，总是安装不成功，或者安装时成功了但是无法复制主域或者其他域控的信息，同步失败，还有就是它一直没有网。解决方案经过排查发现域名dns解析不对，经…

技术杂谈 2023年6月21日
0076
为什么阿里Java开发手册不推荐使用Timestamp？

开发手册网上解释不推荐用 java.sql.Date、 java.sql.Time的文章有很多，但是解释为什么不推荐使用 java.sql.Timestamp文章没找到。参考文…

技术杂谈 2023年7月25日
0074
JS响应式修改基于vue实现的页面的input值

大部分人在看到这篇文章的标题时第一时间可能有点懵，我先简单介绍一下背景：公司有一个基于Vue实现的登录中心是我负责维护的，页面上是一个常规的登录界面，用户名输入框、密码输入框和登…

技术杂谈 2023年5月30日
0072
protected，default访问限制详解

posted @2022-09-08 09:35 2337 Views(15 ) Comments() Edit Original: https://www.cnblogs.com…

技术杂谈 2023年7月24日
0063
《愚者与智者的48个差距》[转帖]

第一章学会尊重他人 ·1．智者满脸微笑，愚者冷若冰霜·2 ．智者记住别人的名字，愚者希望名字被记住·3．智者了解别人的心思，愚者表示自己的需要·4．智者善于倾听，愚者没有耐心第二…

技术杂谈 2023年7月24日
0094
Spring Boot异步请求处理框架

HTTP超时异步处理线程池多线程 Spring Boot异步请求处理框架 1、前言  在Spring Boot&#x98…

技术杂谈 2023年6月21日
0089
继承

public class 子类名 extends 父类名 { } 注意事项:Java 不支持多继承可以多层继承 (一个类不可以直接有多个父类,可以有父类的父类) 让类3与…

技术杂谈 2023年6月21日
0087
RHCSA认证考试

考试要求：在 mars.domain250.example.com 上执行以下任务。○ 复查 ○ 完成配置网络设置○ 复查 ○ 完成配置您的系统以使用默认存储库○ 复查 ○ …

技术杂谈 2023年6月21日
00120
Mysql异常——com.alibaba.druid.sql.parser.ParserException

今天写业务逻辑时候，写完发现控制台出现报错，但是程序可以正常运行。在控制台报错中发现是因为SQL模糊查询格式问题修改模糊查询写法后成功解决该报错 Original: http…

技术杂谈 2023年7月24日
0063
Spring-cloud-alibaba-nacos（配置中心）快速入门（一）

404. 抱歉，您访问的资源不存在。可能是网址有误，或者对应的内容被删除，或者处于私有状态。代码改变世界，联系邮箱 contact@cnblogs.com 园子的商业化努力-困…

技术杂谈 2023年7月25日
0055
Locust的使用二

Locust的使用一通过命令参数可以配置Locust运行方式文档 https://docs.locust.io/en/stable/configuration.html#com…

技术杂谈 2023年5月31日
0068
sprinboot 日期格式化,时间格式化,日期时间格式化

// 接受的日期格式 @DateTimeFormat(pattern = “yyyy-MM-dd HH:mm”) @JSONField(format = &…

技术杂谈 2023年5月31日
0059
.NET服务治理之限流中间件-FireflySoft.RateLimit

FireflySoft.RateLimit自2021年1月发布第一个版本以来，经历了多次升级迭代，目前已经十分稳定，被很多开发者应用到了生产系统中，最新发布的版本是3.0.0。它…

技术杂谈 2023年7月10日
00101
Mock学习记录

使用 mockjs + rap 也是很方便的。 Mock.js http://mockjs.com/ https://www.jianshu.com/p/f3adb1aab09e …

技术杂谈 2023年5月31日
0068
ubuntu18.04下取消中键复制粘贴功能

Q:armlinux开发，主机采用ubuntu18.04操作系统，使用过程中关于鼠标中键有如下操作现象，操作：1.选中文本，2.将鼠标光标定位到要插入的位置3.按下鼠标中键现象：将…

技术杂谈 2023年7月11日
0056

2024 年 4 月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

【翻译】Thymeleaf–SpringSecurity集成模块

大家都在看