Rollenprobleme in Spring Security lösen
Problem:
Bei der Implementierung von Spring Security in a Projekt wurde beobachtet, dass Benutzer nur mit der „Benutzer“-Rolle auf admin-spezifische Ressourcen zugreifen können. Das vermutete Problem liegt in der Benutzerauthentifizierungsabfrage.
Analyse:
Die Konfiguration versucht, sowohl eine Authentifizierung basierend auf In-Memory als auch JDBC durchzuführen. Die Abfrage zum Abrufen von Berechtigungen ist mit „Benutzer_Benutzernamen, Rollen_ID aus Rollen_Benutzern auswählen, wobei Benutzer_Benutzername=?“ konfiguriert. und stellt Rollen das Präfix „ROLE_“ voran.
Ursache:
Das Problem rührt jedoch von einem logischen Fehler in der Reihenfolge der Autorisierungs-Matcher her. Der Matcher „anyRequest().authenticated()“ wird fälschlicherweise vor „antMatchers(“/users/all“).hasRole(“admin“) platziert und ermöglicht allen authentifizierten Benutzern den Zugriff, unabhängig von ihrer Rolle.
Lösung:
Um dieses Problem zu beheben, sollten die Autorisierungsregeln neu organisiert werden, um der in der Spring Security-Dokumentation angegebenen Reihenfolge zu folgen. Die geänderte Konfiguration unten behebt den Fehler:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.httpBasic()
.and()
.authorizeRequests()
.antMatchers("/users/all").hasRole("admin")
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.exceptionHandling().accessDeniedPage("/403");
}Mit dieser Änderung erhalten nur Benutzer mit der Rolle „Administrator“ Zugriff auf „/users/all“ und Benutzer ohne Administratorrechte werden davon ausgeschlossen Zugriff auf geschützte Ressourcen.
Das obige ist der detaillierte Inhalt vonWarum kann Spring Security den Zugriff basierend auf Benutzerrollen nicht ordnungsgemäß einschränken?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Wie kann man Douyin-Flammen wiederherstellen, nachdem sie verschwunden sind?
Der Unterschied und die Verbindung zwischen C-Sprache und C++
Mein Computer kann es nicht durch Doppelklick öffnen.
Was ist das Prinzip und der Mechanismus von Dubbo?
Der Unterschied zwischen vue2.0 und 3.0
Grenzkollaps
Was soll ich tun, wenn die chinesische Neustarteinstellung von vscode nicht wirksam wird?
Was bedeutet volle Breite und halbe Breite?
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
