解决 Spring Security 中的角色问题
问题:
在将 Spring Security 实现为在项目中,我们发现只有“用户”角色的用户才能访问特定于管理员的资源。疑似问题出在用户身份验证查询中。
分析:
配置尝试基于内存和 JDBC 进行身份验证。检索权限的查询配置为“select users_username, Roles_id from Roles_users where users_username=?”并在角色前面加上“ROLE_”前缀。
原因:
但是,问题源于授权匹配器顺序的逻辑错误。匹配器“anyRequest().authenticated()”被错误地放置在“antMatchers("/users/all").hasRole("admin")”之前,允许所有经过身份验证的用户访问,无论其角色如何。
解决方案:
要解决此问题,应重新组织授权规则以遵循指定的顺序在 Spring Security 文档中。下面修改后的配置纠正了错误:
通过此修改,只有具有“admin”角色的用户才会被授予对“/users/all”的访问权限,非管理员用户将被限制访问受保护的资源。
以上是为什么Spring Security不能根据用户角色适当限制访问?的详细内容。更多信息请关注PHP中文网其他相关文章!
