Heim > Java > javaLernprogramm > Wie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?

Wie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?

Patricia Arquette
Freigeben: 2024-12-06 19:40:16
Original
356 Leute haben es durchsucht

How to Fix Spring Security Role Authentication Issues When Non-Admin Users Access Privileged Resources?

Korrektur der Rollenauthentifizierung in Spring Security

Beim Einsatz von Spring Security ist die rollenbasierte Zugriffskontrolle für den Schutz von Ressourcen von entscheidender Bedeutung. In einem kürzlich durchgeführten Projekt sind Sie auf ein Problem gestoßen, bei dem Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen konnten. Wir untersuchen die Grundursache des Problems und bieten eine Lösung zur Behebung.

Ihr konfigurierter AuthenticationManagerBuilder nutzt einen JDBC-basierten Authentifizierungsmechanismus und nutzt eine Datenquelle für die Benutzerauthentifizierung und den Abruf von Berechtigungen. Das Problem ergibt sich aus der Benutzerauthentifizierungsabfrage:

"select username, password, 1 from users where username=?"
Nach dem Login kopieren

In dieser Abfrage ist die „1“ ohne Bedeutung, während der Primärschlüssel zur Benutzeridentifizierung vernachlässigt wird. Infolgedessen wird allen Benutzern fälschlicherweise dieselbe Rolle zugewiesen, sodass Benutzer ohne Administratorrechte Zugriffsbeschränkungen umgehen können.

Um dieses Problem zu beheben, sollte die Authentifizierungsabfrage explizit die mit dem Benutzer verknüpften Rolleninformationen abrufen:

select username, password, role 
from users where username=?
Nach dem Login kopieren

Um der rollenbasierten Zugriffskontrolle Vorrang einzuräumen, sollte außerdem Ihre HTTP-Sicherheitskonfiguration wie folgt geändert werden:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}
Nach dem Login kopieren

Hier In der Konfiguration prüft der anyRequest()-Matcher zuerst die Authentifizierung, gefolgt vom rollenspezifischen Matcher für „/users/all“. Dadurch wird sichergestellt, dass Benutzern ohne Administratorrechte der Zugriff auf privilegierte Ressourcen verweigert wird, wodurch Ihr ursprüngliches Problem gelöst wird.

Durch die Implementierung dieser Änderungen funktioniert die rollenbasierte Zugriffskontrolle von Spring Security korrekt und verhindert unbefugten Zugriff auf geschützte Ressourcen.

Das obige ist der detaillierte Inhalt vonWie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Artikel des Autors
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage