gpt4 book ai didi

java - 是否可以使用 spring-security 来保护包含的 jsp?

转载 作者:行者123 更新时间:2023-12-01 16:40:40 26 4
gpt4 key购买 nike

我有一个导入jsp文件的jsp。是否可以使用 spring-security 配置来保护导入?

例如我想使用这行代码:

<c:import url="jsp/admin/add_user.jsp" />

但是,如果用户未以管理员身份登录,则由于安全原因,此导入不应起作用。我用这一行保护了管理文件夹

<intercept-url pattern="/jsp/admin/**" access="hasRole('ROLE_ADMIN')" />

但是,当在不需要管理员权限的 jsp 文件中导入 add_user jsp 时,如果用户以没有管理员角色的用户身份登录,它仍然可以工作。如果没有必要,我不喜欢在导入周围使用标签。

最佳答案

Spring Security 使用 Servlet Filter 来确保用户访问的资源的安全机制。

当您导入 JSP 时,Servlet 过滤器无法拦截调用,因为资源是在内部加载的,而不通过 Servlet 连接。

一个可能的解决方案是在 jsp 页面内添加逻辑,以防止在用户没有必要的凭据时导入安全资源。

我不是 JSP 专家,但我不明白如何在不添加导入标签的情况下添加必要的逻辑。

关于java - 是否可以使用 spring-security 来保护包含的 jsp?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3867755/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com