Heim >Java >javaLernprogramm >Wie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?

Wie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?

Patricia ArquetteOriginal: 2024-12-06 19:40:16342Durchsuche

How to Fix Spring Security Role Authentication Issues When Non-Admin Users Access Privileged Resources?

Korrektur der Rollenauthentifizierung in Spring Security

Beim Einsatz von Spring Security ist die rollenbasierte Zugriffskontrolle für den Schutz von Ressourcen von entscheidender Bedeutung. In einem kürzlich durchgeführten Projekt sind Sie auf ein Problem gestoßen, bei dem Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen konnten. Wir untersuchen die Grundursache des Problems und bieten eine Lösung zur Behebung.

Ihr konfigurierter AuthenticationManagerBuilder nutzt einen JDBC-basierten Authentifizierungsmechanismus und nutzt eine Datenquelle für die Benutzerauthentifizierung und den Abruf von Berechtigungen. Das Problem ergibt sich aus der Benutzerauthentifizierungsabfrage:

"select username, password, 1 from users where username=?"

In dieser Abfrage ist die „1“ ohne Bedeutung, während der Primärschlüssel zur Benutzeridentifizierung vernachlässigt wird. Infolgedessen wird allen Benutzern fälschlicherweise dieselbe Rolle zugewiesen, sodass Benutzer ohne Administratorrechte Zugriffsbeschränkungen umgehen können.

Um dieses Problem zu beheben, sollte die Authentifizierungsabfrage explizit die mit dem Benutzer verknüpften Rolleninformationen abrufen:

select username, password, role 
from users where username=?

Um der rollenbasierten Zugriffskontrolle Vorrang einzuräumen, sollte außerdem Ihre HTTP-Sicherheitskonfiguration wie folgt geändert werden:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}

Hier In der Konfiguration prüft der anyRequest()-Matcher zuerst die Authentifizierung, gefolgt vom rollenspezifischen Matcher für „/users/all“. Dadurch wird sichergestellt, dass Benutzern ohne Administratorrechte der Zugriff auf privilegierte Ressourcen verweigert wird, wodurch Ihr ursprüngliches Problem gelöst wird.

Durch die Implementierung dieser Änderungen funktioniert die rollenbasierte Zugriffskontrolle von Spring Security korrekt und verhindert unbefugten Zugriff auf geschützte Ressourcen.

Das obige ist der detaillierte Inhalt vonWie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

spring for while protected function this http issue Access

Stellungnahme：

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Vorheriger Artikel：Warum führt mein PreparedStatement in MySQL zu einer Ausnahme „Sie haben einen Fehler in Ihrer SQL-Syntax“?Nächster Artikel：Warum führt mein PreparedStatement in MySQL zu einer Ausnahme „Sie haben einen Fehler in Ihrer SQL-Syntax“?

In Verbindung stehende Artikel

Mehr sehen