我将 Thymeleaf 与 Spring Security 一起使用。 在 html 代码中,我正在检查用户角色:
<li class="has-sub" sec:authorize="hasRole('ROLE_ADMIN')">
</li>
但是在春天我实现了自己的CustomSecurityExpressionRoot,所以我可以在控制器中使用例如
@PreAuthorize("hasAccess('PERMISSION')")
可以连接 Thymeleaf 以使用我的CustomSecurityExpressionRoot 中的hasAccess(和其他)方法吗?
【问题讨论】:
标签: spring spring-security thymeleaf spring-el
我会把逻辑放在一个单独的 Spring bean 中:
@Component
public class AccessEvaluator {
public boolean hasAccess(Authentication authentication, String permission) {
// implementation
}
}
然后在 Thymeleaf 代码中:
<li th:if="${@accessEvaluator.hasAccess(#request.userPrincipal, 'PERMISSION')}">
</li>
【讨论】:
我使用与发布的答案类似的方法来获得身份验证:
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
@Component
public class AccessEvaluator {
public boolean hasAccess(String pageName) {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
return ((MyUserPrincipal) auth.getPrincipal()).getAccessOnPage(pageName);
}
}
并调用如下:
<li th:if="${@accessEvaluator.hasAccess('ACT')}" >
<p> I have access on ACT page </p>
</li>
【讨论】: