堆棧內存溢出
  簡體   English   中英

Spring Security基於角色的授權問題

[英]Spring Security role-based authorisation issue

 原文  2016-03-16 06:15:28       java/ spring/ spring-security/ authorization

問題描述

我已經在我的應用程序中實現了spring安全性。 它是基於無狀態令牌的身份驗證和基於用戶名/密碼的身份驗證。

我已經配置了用戶身份驗證,但是基於角色的授權不起作用。

具有ROLE_USER的用戶可以訪問具有ROLE_ADMIN的控制器方法。

這是配置。 

@EnableWebSecurity 
@EnableGlobalMethodSecurity(securedEnabled = true)
@Configuration 
public class SpringSecurityConfiguration extends WebSecurityConfigurerAdapter{

    @Bean
    AuthenticationProvider passwordBasedAuthenticationProvider() {
        return new PasswordBasedAuthenticationProvider();
    }

    @Bean
    AuthenticationProvider tokenBasedAuthenticationProvider(){
        return new TokenBasedAuthenticationProvider();
    }   

    @Override
    public void configure(WebSecurity web) throws Exception {        
         web.ignoring().antMatchers("/api/v1/public/**");
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
         http.
         csrf().disable().
         sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).
         and().
         authorizeRequests().
         anyRequest().authenticated().
         and().
         anonymous().disable();   
         http.addFilterBefore(new AuthenticationFilter(authenticationManager()), BasicAuthenticationFilter.class);
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(passwordBasedAuthenticationProvider()).
            authenticationProvider(tokenBasedAuthenticationProvider());
    }
}

域名 

@Entity
public class Role implements GrantedAuthority  {
    private long id;    
    private String authority;
}

public class User implements UserDetails{
     private String username;
     private String passwordHash;
     private Role role;
}

@RestController 
public class TesController {
    @RequestMapping(value="/authController")
    @Secured("ROLE_ADMIN")
    String test(){ return "I am secure for ROLE_ADMIN"}
}

此配置有什么不正確之處?

1 個解決方案

解決方案1
 0  2016-05-27 20:32:32

您必須至少使用類似以下內容或您情況下的配置來定義RoleHierarchie: 

@Bean
public RoleHierarchy roleHierarchy() {
  RoleHierarchyImpl r = new RoleHierarchyImpl();
  r.setHierarchy("ROLE_ADMIN > ROLE_STAFF");
  r.setHierarchy("ROLE_STAFF > ROLE_USER");
  r.setHierarchy("ROLE_DEVELOPER > ROLE_USER");
  r.setHierarchy("ROLE_USER > ROLE_GUEST"); 
  return r;
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Spring Security基於角色的授權最佳實踐 Spring Security中基於角色的訪問拒絕處理-如何? LDAP中基於角色的安全性實現 春季:登錄后基於角色的重定向 基於Spring MVC和安全角色的限制問題 春季安全/授權級別 使用Dropwizard進行基於角色的訪問控制 應用服務器基於角色的訪問控制 基於角色的身份驗證不起作用 OAuth2 的基於角色的身份驗證
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM