为什么Spring Security不能根据用户角色适当限制访问？

解决 Spring Security 中的角色问题

问题：

在将 Spring Security 实现为在项目中，我们发现只有“用户”角色的用户才能访问特定于管理员的资源。疑似问题出在用户身份验证查询中。

分析：

配置尝试基于内存和 JDBC 进行身份验证。检索权限的查询配置为“select users_username, Roles_id from Roles_users where users_username=?”并在角色前面加上“ROLE_”前缀。

原因：

但是，问题源于授权匹配器顺序的逻辑错误。匹配器“anyRequest().authenticated()”被错误地放置在“antMatchers("/users/all").hasRole("admin")”之前，允许所有经过身份验证的用户访问，无论其角色如何。

解决方案：

要解决此问题，应重新组织授权规则以遵循指定的顺序在 Spring Security 文档中。下面修改后的配置纠正了错误：

通过此修改，只有具有“admin”角色的用户才会被授予对“/users/all”的访问权限，非管理员用户将被限制访问受保护的资源。

以上是为什么Spring Security不能根据用户角色适当限制访问？的详细内容。更多信息请关注PHP中文网其他相关文章！