根据角色Springboot + Thymeleaf禁用/启用Html元素

时间:2017-12-07 16:44:04

标签: java spring spring-security thymeleaf

我有一个具有多个角色的安全springboot应用程序(ROLE1,ROLE2)。一个用户同时拥有两个角色,另一个用户只有一个角色。成功登录后,用户将被发送到登录页面,在那里我想要禁用元素,如果用户只有一个角色。

我尝试了百里香 - 额外 - 弹簧安全3但没有成功。这是我的代码:

的pom.xml 

...
<dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity3</artifactId>
            <version>3.0.2.RELEASE</version>
        </dependency>
...

landing.html(尝试了所有选项)

!${currentUser.user.hasAuthority('ROLE1')}
!${#authorization.expression('hasRole('ROLE1')')}
${#authentication.getPrincipal().getUser().getRoles()}
${#authentication.getPrincipal().getRoles()}

但是没有成功,我总是得到像这样的对象的空错误

org.springframework.expression.spel.SpelEvaluationException: EL1011E: Method call: Attempted to call method getPrincipal() on null context object

任何帮助将不胜感激!谢谢!

1 个答案:

答案 0 :(得分:3)

我认为recommended方式是使用xmlns:sec="http://www.thymeleaf.org/extras/spring-security"命名空间来实现您想要的结果sec:authorize="hasRole('ROLE_ADMIN')" 

<html xmlns:th="http://www.thymeleaf.org" 
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
<head>...</head>
<body>
    <div sec:authorize="hasRole('ROLE_ADMIN')">...</div>

    // or use #authorization, but use escape quote 'hasRole(''ROLE_USER'')'
    <div th:if="${#authorization.expression('hasRole(''ROLE_USER'')')}">...</div>
</body>

您可能(我认为Spring-boot默认启用)也必须配置SpringSecurityDialect才能使其正常工作。

 @Bean
public TemplateEngine templateEngine() {
    SpringTemplateEngine engine = new SpringTemplateEngine();
    engine.setTemplateResolver(templateResolver());
    engine.addDialect(securityDialect());
    return engine;
}

private IDialect securityDialect(){
    SpringSecurityDialect dialect = new SpringSecurityDialect();
    return dialect;
}

另请查看类似的问题:Spring Security hasRole() not working

相关问题
最新问题