suchen
HeimJavajavaLernprogrammWarum schlägt meine rollenbasierte Zugriffskontrolle von Spring Security trotz Datenbankrollenzuweisungen fehl?

Warum schlägt meine rollenbasierte Zugriffskontrolle von Spring Security trotz Datenbankrollenzuweisungen fehl?

Patricia Arquette
Patricia Arquette
Dec 10, 2024 am 09:29 AM

Why Does My Spring Security Role-Based Access Control Fail Despite Database Role Assignments?

Auflösen ungültiger Rollenprüfungen in Spring Security

In Spring Security kann die Konfiguration der Autorisierung manchmal zu unerwarteten Rollenprüfungen führen. Beheben wir das im bereitgestellten Codeausschnitt hervorgehobene Problem:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}

Problem:

Wenn sich ein Benutzer nur mit der Rolle „USER“ anmeldet, kann er sich anmelden um auf eine durch die Rolle „admin“ geschützte Ressource zuzugreifen. Das Problem liegt in der Primärschlüsseleinschränkung für die Benutzernamenspalte in der Tabelle „Benutzer“.

Lösung:

Die bereitgestellte Abfrage „Benutzernamen und Passwort auswählen“. , 1 von Benutzern, bei denen username=?" ist unzureichend, da immer eine einzelne Zeile zurückgegeben wird, unabhängig von der Rolle des Benutzers. Dadurch können Benutzer jede gewünschte Rolle übernehmen, auch wenn diese in der Datenbank nicht gewährt wird.

Um dieses Problem zu beheben, sollte die Abfrage aktualisiert werden, um die Rolle des Benutzers zurückzugeben:

.usersByUsernameQuery("select username, password, role from users where username=?")

Zusätzlicher Hinweis:

Die Reihenfolge der Matcher in der Autorisierungskonfiguration ist entscheidend. Der folgende Matcher "anyRequest().authenticated() sollte vor antMatchers("/users/all").hasRole("admin") stehen, um sicherzustellen, dass nur authentifizierte Benutzer auf die Anwendung zugreifen können.

Das obige ist der detaillierte Inhalt vonWarum schlägt meine rollenbasierte Zugriffskontrolle von Spring Security trotz Datenbankrollenzuweisungen fehl?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Verwandter Artikel
Wie benutze ich Maven oder Gradle für das fortschrittliche Java -Projektmanagement, die Erstellung von Automatisierung und Abhängigkeitslösung?Wie benutze ich Maven oder Gradle für das fortschrittliche Java -Projektmanagement, die Erstellung von Automatisierung und Abhängigkeitslösung?Mar 17, 2025 pm 05:46 PM

In dem Artikel werden Maven und Gradle für Java -Projektmanagement, Aufbau von Automatisierung und Abhängigkeitslösung erörtert, die ihre Ansätze und Optimierungsstrategien vergleichen.

Wie erstelle und verwende ich benutzerdefinierte Java -Bibliotheken (JAR -Dateien) mit ordnungsgemäßem Versioning und Abhängigkeitsmanagement?Wie erstelle und verwende ich benutzerdefinierte Java -Bibliotheken (JAR -Dateien) mit ordnungsgemäßem Versioning und Abhängigkeitsmanagement?Mar 17, 2025 pm 05:45 PM

In dem Artikel werden benutzerdefinierte Java -Bibliotheken (JAR -Dateien) mit ordnungsgemäßem Versioning- und Abhängigkeitsmanagement erstellt und verwendet, wobei Tools wie Maven und Gradle verwendet werden.

Wie implementiere ich mehrstufige Caching in Java-Anwendungen mit Bibliotheken wie Koffein oder Guava-Cache?Wie implementiere ich mehrstufige Caching in Java-Anwendungen mit Bibliotheken wie Koffein oder Guava-Cache?Mar 17, 2025 pm 05:44 PM

In dem Artikel wird in der Implementierung von mehrstufigem Caching in Java mithilfe von Koffein- und Guava-Cache zur Verbesserung der Anwendungsleistung erläutert. Es deckt die Einrichtungs-, Integrations- und Leistungsvorteile sowie die Bestrafung des Konfigurations- und Räumungsrichtlinienmanagements ab

Wie kann ich JPA (Java Persistence-API) für Objektrelationszuordnungen mit erweiterten Funktionen wie Caching und faulen Laden verwenden?Wie kann ich JPA (Java Persistence-API) für Objektrelationszuordnungen mit erweiterten Funktionen wie Caching und faulen Laden verwenden?Mar 17, 2025 pm 05:43 PM

In dem Artikel werden mit JPA für Objektrelationszuordnungen mit erweiterten Funktionen wie Caching und faulen Laden erläutert. Es deckt Setup, Entity -Mapping und Best Practices zur Optimierung der Leistung ab und hebt potenzielle Fallstricke hervor. [159 Charaktere]

Wie funktioniert der Klassenladungsmechanismus von Java, einschließlich verschiedener Klassenloader und deren Delegationsmodelle?Wie funktioniert der Klassenladungsmechanismus von Java, einschließlich verschiedener Klassenloader und deren Delegationsmodelle?Mar 17, 2025 pm 05:35 PM

Mit der Klassenbelastung von Java wird das Laden, Verknüpfen und Initialisieren von Klassen mithilfe eines hierarchischen Systems mit Bootstrap-, Erweiterungs- und Anwendungsklassenloadern umfasst. Das übergeordnete Delegationsmodell stellt sicher

Wie kann ich Javas RMI (Remote -Methode -Aufruf) für verteiltes Computing verwenden?Wie kann ich Javas RMI (Remote -Methode -Aufruf) für verteiltes Computing verwenden?Mar 11, 2025 pm 05:53 PM

In diesem Artikel werden Javas Remote -Methodenaufruf (RMI) zum Erstellen verteilter Anwendungen erläutert. IT-Details der Schnittstellendefinition, Implementierung, Registrierungssetup und Client-Seitenaufruf, die sich mit Herausforderungen wie Netzwerkproblemen und Sicherheit befassen.

Wie verwende ich Javas Sockets -API für die Netzwerkkommunikation?Wie verwende ich Javas Sockets -API für die Netzwerkkommunikation?Mar 11, 2025 pm 05:53 PM

In diesem Artikel wird die Socket-API von Java für die Netzwerkkommunikation beschrieben, die das Setup des Client-Servers, die Datenbearbeitung und entscheidende Überlegungen wie Ressourcenverwaltung, Fehlerbehandlung und Sicherheit abdeckt. Es untersucht auch die Leistungsoptimierungstechniken, ich

Wie kann ich in Java benutzerdefinierte Netzwerkprotokolle erstellen?Wie kann ich in Java benutzerdefinierte Netzwerkprotokolle erstellen?Mar 11, 2025 pm 05:52 PM

In diesem Artikel werden benutzerdefinierte Java -Netzwerkprotokolle erstellt. Es deckt die Protokolldefinition (Datenstruktur, Framing, Fehlerbehandlung, Versioning), Implementierung (Verwendung von Sockets), Datenserialisierung und Best Practices (Effizienz, Sicherheit, Wartea ab

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Mehr anzeigen

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Beste grafische Einstellungen
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows: Seashell Riddle -Lösung
2 Wochen vorByDDD
R.E.P.O. So reparieren Sie Audio, wenn Sie niemanden hören können
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Wie man alles in Myrise freischaltet
3 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
Mehr anzeigen

Heiße Werkzeuge

Herunterladen der Mac-Version des Atom-Editors

Herunterladen der Mac-Version des Atom-Editors

Der beliebteste Open-Source-Editor

SAP NetWeaver Server-Adapter für Eclipse

SAP NetWeaver Server-Adapter für Eclipse

Integrieren Sie Eclipse mit dem SAP NetWeaver-Anwendungsserver.

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

VSCode Windows 64-Bit-Download

VSCode Windows 64-Bit-Download

Ein kostenloser und leistungsstarker IDE-Editor von Microsoft

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Mehr anzeigen

Heiße Themen

Wo ist der Login-Zugang für Gmail-E-Mail?
7455
15
CakePHP-Tutorial
1375
52
Wie lautet das Format des Kontonamens von Steam?
77
11
Win11 -Aktivierungsschlüssel dauerhaft
40
19
NYT -Verbindungen Hinweise und Antworten
14
9
Mehr anzeigen