首頁 > Java > java教程 > 為什麼Spring Security不能根據使用者角色適當限制存取?

為什麼Spring Security不能根據使用者角色適當限制存取?

Susan Sarandon
發布: 2024-12-13 21:56:17
原創
875 人瀏覽過

Why Can't Spring Security Properly Restrict Access Based on User Roles?

解決Spring Security 中的角色問題

問題:

問題:

問題:

在將為在專案中,我們發現只有「使用者」角色的使用者才能存取特定於管理員的資源。疑似問題出在使用者身分驗證查詢。

分析:

設定嘗試基於記憶體和 JDBC 進行驗證。檢索權限的查詢配置為「select users_username, Roles_id from Roles_users where users_username=?」並在角色前面加上「ROLE_」前綴。

原因:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}
登入後複製
但是,問題源自於授權匹配器順序的邏輯錯誤。匹配器“anyRequest().authenticated()”被錯誤地放置在“antMatchers("/users/all").hasRole("admin")”之前,允許所有經過身份驗證的用戶訪問,無論其角色如何。

解決方案:要解決此問題,應重新組織授權規則以遵循指定的順序在 Spring Security 文件中。下面修改後的配置修正了錯誤:透過此修改,只有具有「admin」角色的使用者才會被授予對「/users/all」的存取權限,非管理員使用者將被限制存取受保護的資源。

以上是為什麼Spring Security不能根據使用者角色適當限制存取?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板