Warum schlägt meine rollenbasierte Zugriffskontrolle von Spring Security trotz Datenbankrollenzuweisungen fehl?

Auflösen ungültiger Rollenprüfungen in Spring Security

In Spring Security kann die Konfiguration der Autorisierung manchmal zu unerwarteten Rollenprüfungen führen. Beheben wir das im bereitgestellten Codeausschnitt hervorgehobene Problem:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}

Problem:

Wenn sich ein Benutzer nur mit der Rolle „USER“ anmeldet, kann er sich anmelden um auf eine durch die Rolle „admin“ geschützte Ressource zuzugreifen. Das Problem liegt in der Primärschlüsseleinschränkung für die Benutzernamenspalte in der Tabelle „Benutzer“.

Lösung:

Die bereitgestellte Abfrage „Benutzernamen und Passwort auswählen“. , 1 von Benutzern, bei denen username=?" ist unzureichend, da immer eine einzelne Zeile zurückgegeben wird, unabhängig von der Rolle des Benutzers. Dadurch können Benutzer jede gewünschte Rolle übernehmen, auch wenn diese in der Datenbank nicht gewährt wird.

Um dieses Problem zu beheben, sollte die Abfrage aktualisiert werden, um die Rolle des Benutzers zurückzugeben:

.usersByUsernameQuery("select username, password, role from users where username=?")

Zusätzlicher Hinweis:

Die Reihenfolge der Matcher in der Autorisierungskonfiguration ist entscheidend. Der folgende Matcher "anyRequest().authenticated() sollte vor antMatchers("/users/all").hasRole("admin") stehen, um sicherzustellen, dass nur authentifizierte Benutzer auf die Anwendung zugreifen können.

Das obige ist der detaillierte Inhalt vonWarum schlägt meine rollenbasierte Zugriffskontrolle von Spring Security trotz Datenbankrollenzuweisungen fehl?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!