用Javascript动态实现Spring安全性
Dynamically Implementing Spring Security with Javascript
是否可以将Spring安全性集成到动态创建的HTML的DOM中?例如,只对ROLE_ADMIN:
的用户显示下面的按钮var adminButton =
'<div sec:authorize="hasRole('ROLE_ADMIN')" style="display:hide">' +
'<a href="#">ADMINS ONLY </a>' +
'</div>'
$('#showButton').on('click', function(){
adminButton.show();
}
这不是一个永久的解决方案,但如果知道安全内容是否可以通过AJAX请求处理,那将是很好的。
你的意思是只有当用户是admin时才显示按钮?当单击#showButton
时,您可以通过AJAX询问服务器当前会话是否具有这种特权。但是为什么不只在用户是管理员时才呈现按钮呢?
因为生成按钮的代码仍然存在,所以有人可以检查JavaScript并轻松地绕过您的检查。一般来说,在客户端处理安全方面是一个不好的做法,您通常只做第一次验证,以便在不需要刷新页面的情况下发出错误信号,但每个操作的每个参数都应该在服务器端进行验证。
在这种情况下,你要做双重检查。第一次是在生成(或不生成)按钮时,第二次是在处理按钮触发的操作的代码中。
相关文章:
- 获取@ResponseBody的一部分作为主干和Spring MVC控制器之间的参数
- 如何使用Spring MVC将Facebook返回的响应数据保存在Java类中
- spring和angularJS(我得到了类似HTTP状态404的错误)
- $https请求的安全性
- Spring Ajax列表返回,但对象为空
- java,javascript签名的小程序(文件选择,ftp上传)安全性/套接字异常
- 使用 JQUERY AJAX (Spring MVC) 从控制器中删除
- 用Java/Struts/Spring项目实现Visual Captcha
- 带有Spring的$.getJSON未执行回调
- Spring WebFlow2 Javascript只在第一个单选按钮上工作
- JavaScript代码中的安全性
- 跨源请求阻止Spring REST服务+AJAX
- Spring MVC:如何在Javascript中访问modelAndView XML对象
- 无法使用Angular JS和spring MVC打开下载文件
- 从Spring应用程序运行PhantomJS以获取网页缩略图
- Spring MVC Ajax请求刷新动态表
- 使用主干.js和 Spring 安全性显示当前用户昵称
- AngularJS和Spring MVC安全性
- 用Javascript动态实现Spring安全性
- Spring基于角色的安全性+来自员工数据库的角色+单点登录