Mengapa Kawalan Akses Berasaskan Peranan Spring Security Saya Gagal Walaupun Tugasan Peranan Pangkalan Data?

Menyelesaikan Penyemakan Peranan Tidak Sah dalam Keselamatan Musim Bunga

Dalam Keselamatan Musim Bunga, mengkonfigurasi kebenaran kadangkala boleh membawa kepada semakan peranan yang tidak dijangka. Mari kita atasi isu yang diserlahkan dalam coretan kod yang disediakan:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}

Masalah:

Apabila pengguna dengan peranan "USER" sahaja log masuk, mereka boleh untuk mengakses sumber yang dilindungi oleh peranan "admin". Isunya terletak pada kekangan kunci utama pada lajur nama pengguna dalam jadual "pengguna".

Penyelesaian:

Pertanyaan yang dibekalkan "pilih nama pengguna, kata laluan , 1 from users where username=?" tidak mencukupi kerana ia sentiasa mengembalikan satu baris, tanpa mengira peranan pengguna. Ini membolehkan pengguna untuk mengambil sebarang peranan yang mereka inginkan, walaupun tidak diberikan dalam pangkalan data.

Untuk menangani perkara ini, pertanyaan perlu dikemas kini untuk mengembalikan peranan pengguna:

.usersByUsernameQuery("select username, password, role from users where username=?")

Nota Tambahan:

Tertib pemadan dalam konfigurasi kebenaran adalah penting. Penjodoh berikut "anyRequest().authenticated() harus didahulukan sebelum antMatchers("/users/all").hasRole("admin") untuk memastikan hanya pengguna yang disahkan boleh mengakses aplikasi.

Atas ialah kandungan terperinci Mengapa Kawalan Akses Berasaskan Peranan Spring Security Saya Gagal Walaupun Tugasan Peranan Pangkalan Data?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!