解決 Spring Security 中無效的角色檢查
在 Spring Security 中,設定授權有時會導致意外的角色檢查。讓我們解決所提供的程式碼片段中突出顯示的問題:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// ...
auth
.jdbcAuthentication()
.dataSource(dataSource)
.usersByUsernameQuery("select username, password, 1 from users where username=?")
.authoritiesByUsernameQuery("select users_username, roles_id from roles_users where users_username=?")
.rolePrefix("ROLE_");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// ...
http
.csrf().disable();
http
.httpBasic();
http
.authorizeRequests()
.anyRequest().authenticated();
http
.authorizeRequests()
.antMatchers("/users/all").hasRole("admin")
.and()
.formLogin();
http
.exceptionHandling().accessDeniedPage("/403");
}問題:
當僅具有「USER」角色的使用者登入時,他們能夠存取受“admin”角色保護的資源。問題在於「users」表中使用者名列的主鍵約束。
解決方案:
提供的查詢「選擇用戶名,密碼, 1 from users where username=?" 是不夠的,因為它總是返回單行,無論用戶的角色如何。這允許用戶承擔他們想要的任何角色,即使未在資料庫中授予。
要解決此問題,應更新查詢以傳回使用者的角色:
.usersByUsernameQuery("select username, password, role from users where username=?")附加說明:
授權配置中匹配器的順序至關重要。以下匹配器"anyRequest().authenticated() 應位於antMatchers("/users/all").hasRole("admin") 之前,以確保只有經過身份驗證的使用者才能存取該應用程式。
以上是儘管分配了資料庫角色,為什麼我的 Spring Security 基於角色的存取控制仍會失敗?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
