堆栈内存溢出
  繁体   English   中英

Spring Security hasRole()提供错误403-访问被拒绝

[英]Spring security hasRole() giving Error 403 - Access is denied

 原文  2016-01-21 16:12:59       java/ spring/ jsp/ spring-mvc/ spring-security

问题描述

我正在尝试查看仅管理员可以查看的特定页面,但是每次发出请求时都会出现错误。 它似乎与我的安全上下文文件中的hasRole()一起使用。

该错误仅显示HTTP状态403-当我发出查看admin jsp页面的请求时,访问被拒绝

安全的context.xml: 

<security:http use-expressions="true">
    <security:intercept-url pattern="/admin" access="hasAnyRole('admin')" />
    <security:form-login login-page="/login"
        authentication-failure-url="/login?error=true" />
    <security:logout logout-success-url="/loogedout" />
    <security:intercept-url pattern="/createoffer" access="isAuthenticated()" />
    <security:intercept-url pattern="/docreate" access="isAuthenticated()" />
    <security:intercept-url pattern="/offercreated" access="isAuthenticated()" />
    <security:intercept-url pattern="/" access="permitAll" />
    <security:intercept-url pattern="/loggedout" access="permitAll" />
    <security:intercept-url pattern="/newaccount" access="permitAll" />
    <security:intercept-url pattern="/createaccount" access="permitAll" />
    <security:intercept-url pattern="/accountcreated" access="permitAll" />
    <security:intercept-url pattern="/static/**" access="permitAll" />
    <security:intercept-url pattern="/login" access="permitAll" />
    <security:intercept-url pattern="/offers" access="permitAll" />
    <security:intercept-url pattern="/**" access="denyAll" />
</security:http>

我数据库中的两个表是用户(用户名,电子邮件,已启用,密码)和权限(用户名,权限)。

谁能建议我是什么错误或如何解决?

2 个解决方案

解决方案1
 5  2016-01-22 06:29:24

默认情况下,spring会添加ROLE_前缀,因此,除非您具有自定义实现,否则将hasAnyRole('admin')更改为hasAnyRole('ROLE_admin')应该可以修复该错误。

参考:

http://docs.spring.io/spring-security/site/docs/current-SNAPSHOT/apidocs/org/springframework/security/access/vote/RoleVoter.html

https://docs.spring.io/spring-security/site/docs/3.2.3.RELEASE/apidocs/org/springframework/security/core/userdetails/jdbc/JdbcDaoImpl.html#setRolePrefix(java.lang.String)

解决方案2
 0  2016-01-22 09:36:57

请确认以管理员身份登录时,您确实具有管理员角色。 请查看以下代码的输出:
getCurrentUser().getAuthorities(); 在允许所有人的任何流量中。 这将仅列出您登录的用户具有的所有角色。 

public UserInfo getCurrentUser() {
        UserInfo userInfo = null;
        SecurityContext securityContext = SecurityContextHolder.getContext();
        if (securityContext != null && null != securityContext.getAuthentication()) {
            Object principal = securityContext.getAuthentication().getPrincipal();
            if (UserInfo.class.isAssignableFrom(principal.getClass())) {
                userInfo = (UserInfo) principal;
            }
        }
        return userInfo;
    }

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 hasRole()无法正常工作错误HTTP状态403-访问被拒绝 错误403-使用Spring Security拒绝访问-ManyToMany注释问题? Spring Security Access在发布后被拒绝403 获取后Spring Security Access拒绝403 HTTP状态403 - 拒绝访问Spring安全性 spring 安全 HTTP 状态 403 - 访问被拒绝 403访问每次都拒绝Spring Security 访问被拒绝<sec:authorize access="hasRole('ROLE_MANAGER)">在 Spring 安全</sec:authorize> 如何使用 Spring Security 自定义 403 Forbidden/Access Denied Page Spring Security hasRole() 不起作用
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM