Comment résoudre les problèmes d'authentification des rôles de sécurité Spring lorsque des utilisateurs non administrateurs accèdent à des ressources privilégiées ?

Correction de l'authentification des rôles dans Spring Security

Lors de l'utilisation de Spring Security, le contrôle d'accès basé sur les rôles est crucial pour protéger les ressources. Dans un projet récent, vous avez rencontré un problème où des utilisateurs non-administrateurs pouvaient accéder à des ressources privilégiées. Nous examinerons la cause première du problème et fournirons une solution pour y remédier.

Votre AuthenticationManagerBuilder configuré exploite un mécanisme d'authentification basé sur JDBC, en utilisant une source de données pour l'authentification des utilisateurs et la récupération des autorités. Le problème vient de la requête d'authentification de l'utilisateur :

"select username, password, 1 from users where username=?"

Dans cette requête, le "1" est sans conséquence, tandis que la clé primaire d'identification de l'utilisateur est négligée. En conséquence, tous les utilisateurs se voient attribuer par erreur le même rôle, ce qui permet aux utilisateurs non-administrateurs de contourner les restrictions d'accès.

Pour résoudre ce problème, la requête d'authentification doit explicitement récupérer les informations de rôle associées à l'utilisateur :

select username, password, role 
from users where username=?

De plus, pour prioriser le contrôle d'accès basé sur les rôles, votre configuration de sécurité HTTP doit être modifiée comme suit :

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}

Dans cette configuration, le matcher anyRequest() vérifie d'abord l'authentification, suivi du matcher spécifique au rôle pour "/users/all". Cela garantit que les utilisateurs non administrateurs se voient refuser l'accès aux ressources privilégiées, résolvant ainsi votre problème initial.

En implémentant ces modifications, le contrôle d'accès basé sur les rôles de Spring Security fonctionnera correctement, empêchant tout accès non autorisé aux ressources protégées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!