[英]Securing URL using User Roles and Spring Security
我的 Java 应用程序中有多个用户角色。 这是我的代码:
private String userAccess[] = new String[]{"/dashboard/**"};
private String dataAccess[] = new String[]{"/dashboard/**", "/data/**"};
private String adminAccess[] = new String[]{"/dashboard/**", "/data/**", "/admin/**"};
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers(publicResources).permitAll()
.antMatchers(userAccess).hasRole("USER").anyRequest().authenticated()
.antMatchers(dataAccess).hasRole("DATA").anyRequest().authenticated()
.antMatchers(adminAccess).hasRole("ADMIN").anyRequest().authenticated()
错误:
2019-12-18T12:00:34.059+0000 DEBUG 安全对象:FilterInvocation:URL:/dashboard; 属性:hasAnyRole('ROLE_ADMIN') 2019-12-18T12:00:34.059+0000 DEBUG 先前认证:org.springframework.security.authentication.UsernamePasswordAuthenticationToken@62aad9e7: Principal: userdetails@20d2UserDetails. 凭据:[受保护]; 已认证:真实; 详细信息:org.springframework.security.web.authentication.WebAuthenticationDetails@b364:RemoteIpAddress:0:0:0:0:0:0:0:1; 会话 ID:空; 授予权限:ROLE_DATA 2019-12-18T12:00:34.059+0000 DEBUG 投票者:org.springframework.security.web.access.expression.WebExpressionVoter@6925373,返回:-1 2019-12-18T12.00000000000000000000000000000000000003访问被拒绝(用户不是匿名的); 委托给 AccessDeniedHandler org.springframework.security.access.AccessDeniedException:访问被拒绝
抱歉,似乎无法在此处显示“代码”标签中的异常:(
现在的问题是,当我使用 ADMIN 登录时,所有工作 100%。 但是当我使用 USER 或 DATA 登录时,我收到一个异常,说我试图访问和未经授权的页面。
所以发生的事情是它加载了用户 DATA 的 URL 访问权限,但是当最后一行执行时,它更改 /dashboard URL 以具有 ADMIN 访问权限。 我的角色仍然是 DATA 角色,因此无权访问 /dashboard URL。
所以看起来最后一行正在覆盖其他行。 再次查看 URL 权限,如果我删除“/dashboard”,那么当涉及到“/data”URL 时,我会遇到同样的问题。
有没有更好的方法来做到这一点,或者我有办法解决这个问题?
谢谢
如果不重复角色的端点怎么办
private String userAccess[] = new String[]{"/dashboard/**"};
private String dataAccess[] = new String[]{"/data/**"};
private String adminAccess[] = new String[]{"/admin/**"};
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers(publicResources).permitAll()
.antMatchers(userAccess).hasAnyRole("USER", "DATA", "ADMIN").anyRequest().authenticated()
.antMatchers(dataAccess).hasAnyRole("DATA", "ADMIN").anyRequest().authenticated()
.antMatchers(adminAccess).hasRole("ADMIN").anyRequest().authenticated();
}
antMatchers 的顺序很重要。
更具体的应该先行。 最不具体的应该放在最后。
将 antMatchers 重新排序如下:
.antMatchers(userAccess).hasRole("USER").anyRequest().authenticated()
.antMatchers(dataAccess).hasRole("DATA").anyRequest().authenticated()
.antMatchers(adminAccess).hasRole("ADMIN").anyRequest().authenticated()
.antMatchers(publicResources).permitAll()
我假设用户比数据更具体。
奇怪的授权......你需要改变逻辑。 在您的配置中写着: publicResources permitAll AND matcher userAccess具有角色 USER AND 任何请求已通过身份验证 AND matcher dataAccess具有角色 DATA AND 任何请求已通过身份验证 AND ...(anyRequest 的多个定义)
根据用户角色在jsp中显示字段(不使用spring security)
[英]Show fields in jsp based on user roles(without using spring security)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.