堆棧內存溢出
  簡體   English   中英

Spring Security對用戶進行身份驗證以輸入管理員

[英]Spring security authenticate user to enter admin

 原文  2016-03-11 04:17:10       java/ spring/ spring-mvc/ spring-security

問題描述

我正在使用Spring Security來驗證用戶身份。

AdminController.java 

@Controller
@Secured("ROLE_ADMIN")
public class AdminController {

     @RequestMapping("/list")
    public ModelAndView listProductController(@ModelAttribute("pForm") Product product, ModelMap model)
    {

         return new ModelAndView("list", model);
    }
}

在上面的代碼中,我希望只有管理員才能訪問URL http://localhost/Pgga/list ,但是即使沒有登錄,我也可以訪問此頁面。

spring-security.xml 

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <global-method-security secured-annotations="enabled" />

    <!-- enable use-expressions -->
    <http auto-config="true" use-expressions="true">
    <intercept-url pattern="/admin*" access="ROLE_ADMIN" />

        <!-- access denied page -->
        <access-denied-handler error-page="/403" />
        <form-login 
            login-page="/login"
            login-processing-url="/login.do"
            default-target-url="/index"
            authentication-failure-url="/login?error" 
            username-parameter="emailID"
            password-parameter="password" />
        <logout 
            logout-success-url="/login?logout"
            delete-cookies="JSESSIONID"
            invalidate-session="true" />
        <csrf/>
    </http>

    <authentication-manager>
        <authentication-provider user-service-ref="userAuthenticationProvider">
            <password-encoder hash="plaintext" />
        </authentication-provider>
    </authentication-manager>

</beans:beans>

如何只允許管理員進入管理員區域?

2 個解決方案

解決方案1
 1  2016-03-11 04:38:21

使用hasRole('admin')或設置use-expressions =“ false” ....

解決方案2
 1  2016-03-11 06:41:16

登錄名重定向到其自身,因為您設置了: 

login-page="/login"

並且它保持重定向到用戶頁面,因為spring知道/login它的登錄頁面,但是無權使用它,因此添加以下內容: 

<intercept-url pattern="/login" access="permitAll()" />

以確保登錄頁面被允許並且可以向已認證的用戶授予訪問權限或為其分配角色。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring Security無法驗證用戶 Spring 安全性 - 使用用戶名驗證用戶 具有XML配置的Spring Security無法驗證用戶 如何使用Spring Security驗證用戶身份? Spring Security 通過 post 對用戶進行身份驗證 Spring安全性配置來認證ldap用戶 春季安全性:用戶和管理員登錄失敗 春季安全性不進行身份驗證 SpringBoot和Spring Security無法驗證 如何使用Spring Security以編程方式驗證`User`並使用我的`UserDetailsS​​ervie`實現?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM