社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
首頁 Java java教程 儘管分配了資料庫角色,為什麼我的 Spring Security 基於角色的存取控制仍會失敗?

儘管分配了資料庫角色,為什麼我的 Spring Security 基於角色的存取控制仍會失敗?

Patricia Arquette
Patricia Arquette
Dec 10, 2024 am 09:29 AM

Why Does My Spring Security Role-Based Access Control Fail Despite Database Role Assignments?

解決 Spring Security 中無效的角色檢查

在 Spring Security 中,設定授權有時會導致意外的角色檢查。讓我們解決所提供的程式碼片段中突出顯示的問題:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}
登入後複製

問題:

當僅具有「USER」角色的使用者登入時,他們能夠存取受“admin”角色保護的資源。問題在於「users」表中使用者名列的主鍵約束。

解決方案:

提供的查詢「選擇用戶名,密碼, 1 from users where username=?" 是不夠的,因為它總是返回單行,無論用戶的角色如何。這允許用戶承擔他們想要的任何角色,即使未在資料庫中授予。

要解決此問題,應更新查詢以傳回使用者的角色:

.usersByUsernameQuery("select username, password, role from users where username=?")
登入後複製

附加說明:

授權配置中匹配器的順序至關重要。以下匹配器"anyRequest().authenticated() 應位於antMatchers("/users/all").hasRole("admin") 之前,以確保只有經過身份驗證的使用者才能存取該應用程式。

以上是儘管分配了資料庫角色,為什麼我的 Spring Security 基於角色的存取控制仍會失敗?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

顯示更多

熱門文章

Windows 11 KB5054979中的新功能以及如何解決更新問題
4 週前 By DDD
如何修復KB5055523無法在Windows 11中安裝?
3 週前 By DDD
如何修復KB5055518無法在Windows 10中安裝?
3 週前 By DDD
R.E.P.O.的每個敵人和怪物的力量水平
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
藍王子:如何到達地下室
3 週前 By DDD
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

gmail信箱登陸入口在哪裡
7926
15
Java教學
1652
14
CakePHP 教程
1411
52
Laravel 教程
1303
25
PHP教程
1249
29
顯示更多
Related knowledge
公司安全軟件導致應用無法運行?如何排查和解決? 公司安全軟件導致應用無法運行?如何排查和解決? Apr 19, 2025 pm 04:51 PM

公司安全軟件導致部分應用無法正常運行的排查與解決方法許多公司為了保障內部網絡安全,會部署安全軟件。 ...

如何使用MapStruct簡化系統對接中的字段映射問題? 如何使用MapStruct簡化系統對接中的字段映射問題? Apr 19, 2025 pm 06:21 PM

系統對接中的字段映射處理在進行系統對接時,常常會遇到一個棘手的問題:如何將A系統的接口字段有效地映�...

如何將姓名轉換為數字以實現排序並保持群組中的一致性? 如何將姓名轉換為數字以實現排序並保持群組中的一致性? Apr 19, 2025 pm 11:30 PM

將姓名轉換為數字以實現排序的解決方案在許多應用場景中,用戶可能需要在群組中進行排序,尤其是在一個用...

如何優雅地獲取實體類變量名構建數據庫查詢條件? 如何優雅地獲取實體類變量名構建數據庫查詢條件? Apr 19, 2025 pm 11:42 PM

在使用MyBatis-Plus或其他ORM框架進行數據庫操作時,經常需要根據實體類的屬性名構造查詢條件。如果每次都手動...

IntelliJ IDEA是如何在不輸出日誌的情況下識別Spring Boot項目的端口號的? IntelliJ IDEA是如何在不輸出日誌的情況下識別Spring Boot項目的端口號的? Apr 19, 2025 pm 11:45 PM

在使用IntelliJIDEAUltimate版本啟動Spring...

Java對像如何安全地轉換為數組? Java對像如何安全地轉換為數組? Apr 19, 2025 pm 11:33 PM

Java對象與數組的轉換:深入探討強制類型轉換的風險與正確方法很多Java初學者會遇到將一個對象轉換成數組的�...

電商平台SKU和SPU數據庫設計:如何兼顧用戶自定義屬性和無屬性商品? 電商平台SKU和SPU數據庫設計:如何兼顧用戶自定義屬性和無屬性商品? Apr 19, 2025 pm 11:27 PM

電商平台SKU和SPU表設計詳解本文將探討電商平台中SKU和SPU的數據庫設計問題,特別是如何處理用戶自定義銷售屬...

使用TKMyBatis進行數據庫查詢時,如何優雅地獲取實體類變量名構建查詢條件? 使用TKMyBatis進行數據庫查詢時,如何優雅地獲取實體類變量名構建查詢條件? Apr 19, 2025 pm 09:51 PM

在使用TKMyBatis進行數據庫查詢時,如何優雅地獲取實體類變量名以構建查詢條件,是一個常見的難題。本文將針...

See all articles