Pourquoi mon contrôle d'accès basé sur les rôles Spring Security échoue-t-il malgré les attributions de rôles de base de données ?-javaDidacticiel-php.cn

Pourquoi mon contrôle d'accès basé sur les rôles Spring Security échoue-t-il malgré les attributions de rôles de base de données ?

Patricia Arquette

Dec 10, 2024 am 09:29 AM

Why Does My Spring Security Role-Based Access Control Fail Despite Database Role Assignments?

Résolution de la vérification de rôle invalide dans Spring Security

Dans Spring Security, la configuration de l'autorisation peut parfois conduire à des vérifications de rôle inattendues. Abordons le problème mis en évidence dans l'extrait de code fourni :

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}

Problème :

Lorsqu'un utilisateur avec uniquement le rôle « UTILISATEUR » se connecte, il peut pour accéder à une ressource protégée par le rôle "admin". Le problème réside dans la contrainte de clé primaire sur la colonne nom d'utilisateur dans la table "utilisateurs".

Solution :

La requête fournie "sélectionner le nom d'utilisateur, le mot de passe , 1 des utilisateurs où username=?" est inadéquat car il renvoie toujours une seule ligne, quel que soit le rôle de l'utilisateur. Cela permet aux utilisateurs d'assumer n'importe quel rôle qu'ils souhaitent, même s'il n'est pas accordé dans la base de données.

Pour résoudre ce problème, la requête doit être mise à jour pour renvoyer le rôle de l'utilisateur :

.usersByUsernameQuery("select username, password, role from users where username=?")

Remarque supplémentaire :

L'ordre des correspondants dans la configuration de l'autorisation est crucial. Le matcher suivant "anyRequest().authenticated() doit précéder antMatchers("/users/all").hasRole("admin") pour garantir que seuls les utilisateurs authentifiés peuvent accéder à l'application.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Pourquoi Java est-il un choix populaire pour développer des applications de bureau multiplateforme?Apr 25, 2025 am 12:23 AM

Javaispopularforcross-plateformdesktopapplicationsDuetoit "writeOnce, runanywhere" philosophy.1) iTUSESBYTECODETHATrunSonanyjvm-equipppatform.2) bibliothèqueslikeswingandjavafxhelpcreenative-lookporport

Discuter des situations où l'écriture de code spécifique à la plate-forme en Java pourrait être nécessaire.Apr 25, 2025 am 12:22 AM

Les raisons de l'écriture du code spécifique à la plate-forme en Java incluent l'accès à des fonctionnalités spécifiques du système d'exploitation, l'interaction avec le matériel spécifique et l'optimisation des performances. 1) Utilisez JNA ou JNI pour accéder au registre Windows; 2) interagir avec les pilotes matériels spécifiques à Linux via JNI; 3) Utilisez du métal pour optimiser les performances de jeu sur macOS via JNI. Néanmoins, la rédaction du code spécifique à la plate-forme peut affecter la portabilité du code, augmenter la complexité et potentiellement poser des risques de performances et de sécurité.

Quelles sont les tendances futures du développement de Java qui se rapportent à l'indépendance de la plate-forme?Apr 25, 2025 am 12:12 AM

Java améliorera encore l'indépendance des plates-formes grâce aux applications natives dans le cloud, au déploiement multi-plate-forme et à l'interopérabilité inter-language. 1) Les applications natives Cloud utiliseront Graalvm et Quarkus pour augmenter la vitesse de démarrage. 2) Java sera étendu aux appareils intégrés, aux appareils mobiles et aux ordinateurs quantiques. 3) Grâce à GraalVM, Java s'intègre de manière transparente à des langages tels que Python et JavaScript pour améliorer l'interopérabilité transversale.

Comment le fort typage de Java contribue-t-il à l'indépendance des plateformes?Apr 25, 2025 am 12:11 AM

Le système dactylographié de Java assure l'indépendance de la plate-forme par la sécurité de type, la conversion de type unifié et le polymorphisme. 1) La sécurité des types effectue la vérification du type au temps de compilation pour éviter les erreurs d'exécution; 2) Les règles de conversion de type unifié sont cohérentes sur toutes les plateformes; 3) Les mécanismes de polymorphisme et d'interface font que le code se comporte de manière cohérente sur différentes plates-formes.

Expliquez comment l'interface native Java (JNI) peut compromettre l'indépendance de la plate-forme.Apr 25, 2025 am 12:07 AM

JNI détruira l'indépendance de la plate-forme de Java. 1) JNI nécessite des bibliothèques locales pour une plate-forme spécifique, 2) le code local doit être compilé et lié sur la plate-forme cible, 3) différentes versions du système d'exploitation ou de JVM peuvent nécessiter différentes versions de bibliothèque locale, 4) le code local peut introduire des vulnérabilités de sécurité ou provoquer des accidents de programme.

Y a-t-il des technologies émergentes qui menacent ou améliorent l'indépendance de la plate-forme de Java?Apr 24, 2025 am 12:11 AM

Les technologies émergentes représentent à la fois des menaces et améliorent l'indépendance de la plate-forme de Java. 1) Les technologies de cloud computing et de contenerisation telles que Docker améliorent l'indépendance de la plate-forme de Java, mais doivent être optimisées pour s'adapter à différents environnements cloud. 2) WebAssembly compile le code Java via GRAALVM, prolongeant son indépendance de la plate-forme, mais il doit rivaliser avec d'autres langues pour les performances.

Quelles sont les différentes implémentations du JVM et fournissent-elles toutes le même niveau d'indépendance de la plate-forme?Apr 24, 2025 am 12:10 AM

Différentes implémentations JVM peuvent fournir une indépendance de la plate-forme, mais leurs performances sont légèrement différentes. 1. Oraclehotspot et OpenJDKJVM fonctionnent de manière similaire dans l'indépendance de la plate-forme, mais OpenJDK peut nécessiter une configuration supplémentaire. 2. IBMJ9JVM effectue une optimisation sur des systèmes d'exploitation spécifiques. 3. GRAALVM prend en charge plusieurs langues et nécessite une configuration supplémentaire. 4. AzulzingJVM nécessite des ajustements de plate-forme spécifiques.

Comment l'indépendance des plateformes réduit-elle les coûts et le temps de développement?Apr 24, 2025 am 12:08 AM

L'indépendance de la plate-forme réduit les coûts de développement et réduit le temps de développement en exécutant le même ensemble de code sur plusieurs systèmes d'exploitation. Plus précisément, il se manifeste comme suit: 1. Réduire le temps de développement, un seul ensemble de code est requis; 2. Réduire les coûts de maintenance et unifier le processus de test; 3. I itération rapide et collaboration d'équipe pour simplifier le processus de déploiement.

See all articles