Spring WEB安全:可访问URL列表

Question

我正在将一个WEB应用程序迁移到Spring Security。应用程序使用Spring MVC呈现JSP，控制器方法使用@Secured(...)注释。

因此，在成功登录和MVC servlet初始化之后的某个时刻，某些Spring内部会包含以下信息:用户拥有哪些权限(也称为已授予的权限)、控制器URL和权限集，这些都是每个权限所必需的。

我想要的是动态获取当前用户可访问的URL列表，以生成导航栏。

当然，我可以为此覆盖一些Spring bean，但这种方法似乎太脏了。那么，有没有关于如何做到这一点的建议，也许是标准的解决方案？

Answer 1

您可以尝试在jsp中使用spring security tag lib，遍历控制器URL列表。

<sec:authorize url="/admin">
This content will only be visible to users who are authorized to send requests to the "/admin" URL.
</sec:authorize>