recherche
MaisonJavajavaDidacticielPourquoi mon contrôle d'accès basé sur les rôles Spring Security échoue-t-il malgré les attributions de rôles de base de données ?
Pourquoi mon contrôle d'accès basé sur les rôles Spring Security échoue-t-il malgré les attributions de rôles de base de données ?
Patricia Arquette
Patricia Arquette
Dec 10, 2024 am 09:29 AM

Why Does My Spring Security Role-Based Access Control Fail Despite Database Role Assignments?

Résolution de la vérification de rôle invalide dans Spring Security

Dans Spring Security, la configuration de l'autorisation peut parfois conduire à des vérifications de rôle inattendues. Abordons le problème mis en évidence dans l'extrait de code fourni :

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // ...
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("select username, password, 1 from users where username=?")
            .authoritiesByUsernameQuery("select users_username, roles_id  from roles_users where users_username=?")
            .rolePrefix("ROLE_");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    // ...
    http
        .csrf().disable();      
    http
        .httpBasic();
    http
        .authorizeRequests()
            .anyRequest().authenticated();
    http
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .and()
        .formLogin();
    http
        .exceptionHandling().accessDeniedPage("/403");
}

Problème :

Lorsqu'un utilisateur avec uniquement le rôle « UTILISATEUR » se connecte, il peut pour accéder à une ressource protégée par le rôle "admin". Le problème réside dans la contrainte de clé primaire sur la colonne nom d'utilisateur dans la table "utilisateurs".

Solution :

La requête fournie "sélectionner le nom d'utilisateur, le mot de passe , 1 des utilisateurs où username=?" est inadéquat car il renvoie toujours une seule ligne, quel que soit le rôle de l'utilisateur. Cela permet aux utilisateurs d'assumer n'importe quel rôle qu'ils souhaitent, même s'il n'est pas accordé dans la base de données.

Pour résoudre ce problème, la requête doit être mise à jour pour renvoyer le rôle de l'utilisateur :

.usersByUsernameQuery("select username, password, role from users where username=?")

Remarque supplémentaire :

L'ordre des correspondants dans la configuration de l'autorisation est crucial. Le matcher suivant "anyRequest().authenticated() doit précéder antMatchers("/users/all").hasRole("admin") pour garantir que seuls les utilisateurs authentifiés peuvent accéder à l'application.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article connexe
Top 4 frameworks JavaScript en 2025: React, Angular, Vue, SvelteTop 4 frameworks JavaScript en 2025: React, Angular, Vue, SvelteMar 07, 2025 pm 06:09 PM

Cet article analyse les quatre premiers cadres JavaScript (React, Angular, Vue, Svelte) en 2025, en comparant leurs performances, leur évolutivité et leurs perspectives d'avenir. Alors que tous restent dominants en raison de fortes communautés et écosystèmes, leur populaire relatif

Spring Boot SnakeyAml 2.0 CVE-2022-1471 Issue fixeSpring Boot SnakeyAml 2.0 CVE-2022-1471 Issue fixeMar 07, 2025 pm 05:52 PM

Cet article aborde la vulnérabilité CVE-2022-1471 dans SnakeyAml, un défaut critique permettant l'exécution du code distant. Il détaille comment la mise à niveau des applications de démarrage de printemps vers SnakeyAml 1.33 ou ultérieurement atténue ce risque, en soulignant cette mise à jour de dépendance

Comment implémenter la mise en cache à plusieurs niveaux dans les applications Java à l'aide de bibliothèques comme la caféine ou le cache de goyave?Comment implémenter la mise en cache à plusieurs niveaux dans les applications Java à l'aide de bibliothèques comme la caféine ou le cache de goyave?Mar 17, 2025 pm 05:44 PM

L'article examine la mise en œuvre de la mise en cache à plusieurs niveaux en Java à l'aide de la caféine et du cache de goyave pour améliorer les performances de l'application. Il couvre les avantages de configuration, d'intégration et de performance, ainsi que la gestion de la politique de configuration et d'expulsion le meilleur PRA

Comment fonctionne le mécanisme de chargement de classe de Java, y compris différents chargeurs de classe et leurs modèles de délégation?Comment fonctionne le mécanisme de chargement de classe de Java, y compris différents chargeurs de classe et leurs modèles de délégation?Mar 17, 2025 pm 05:35 PM

Le chargement de classe de Java implique le chargement, la liaison et l'initialisation des classes à l'aide d'un système hiérarchique avec Bootstrap, Extension et Application Classloaders. Le modèle de délégation parent garantit que les classes de base sont chargées en premier, affectant la classe de classe personnalisée LOA

Node.js 20: Boosts de performances clés et nouvelles fonctionnalitésNode.js 20: Boosts de performances clés et nouvelles fonctionnalitésMar 07, 2025 pm 06:12 PM

Node.js 20 améliore considérablement les performances via des améliorations du moteur V8, notamment la collecte des ordures et les E / S plus rapides. Les nouvelles fonctionnalités incluent une meilleure prise en charge de Webassembly et des outils de débogage raffinés, augmentant la productivité des développeurs et la vitesse d'application.

Iceberg: L'avenir des tables de Data LakeIceberg: L'avenir des tables de Data LakeMar 07, 2025 pm 06:31 PM

Iceberg, un format de table ouverte pour les grands ensembles de données analytiques, améliore les performances et l'évolutivité du lac Data. Il aborde les limites du parquet / orc par le biais de la gestion interne des métadonnées, permettant une évolution efficace du schéma, un voyage dans le temps, un W simultanément

Comment partager les données entre les étapes du concombreComment partager les données entre les étapes du concombreMar 07, 2025 pm 05:55 PM

Cet article explore les méthodes de partage des données entre les étapes du concombre, la comparaison du contexte de scénario, les variables globales, le passage des arguments et les structures de données. Il met l'accent

Comment puis-je implémenter des techniques de programmation fonctionnelle en Java?Comment puis-je implémenter des techniques de programmation fonctionnelle en Java?Mar 11, 2025 pm 05:51 PM

Cet article explore l'intégration de la programmation fonctionnelle dans Java à l'aide d'expressions Lambda, de flux API, de références de méthode et facultatif. Il met en évidence des avantages tels que l'amélioration de la lisibilité au code et de la maintenabilité grâce à la concision et à l'immuabilité

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
2 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌
Repo: Comment relancer ses coéquipiers
4 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: Comment obtenir des graines géantes
4 Il y a quelques semainesBy尊渡假赌尊渡假赌尊渡假赌
Combien de temps faut-il pour battre Split Fiction?
3 Il y a quelques semainesByDDD
R.E.P.O. Enregistrer l'emplacement du fichier: où est-il et comment le protéger?
3 Il y a quelques semainesByDDD
Afficher plus

Outils chauds

Navigateur d'examen sécurisé

Navigateur d'examen sécurisé

Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.

DVWA

DVWA

Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel

SublimeText3 version anglaise

SublimeText3 version anglaise

Recommandé : version Win, prend en charge les invites de code !

Version crackée d'EditPlus en chinois

Version crackée d'EditPlus en chinois

Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code

SublimeText3 Linux nouvelle version

SublimeText3 Linux nouvelle version

Dernière version de SublimeText3 Linux

Afficher plus

Sujets chauds

Où se trouve l’entrée de connexion pour la messagerie Gmail ?
7333
9
Tutoriel Java
1627
14
Tutoriel CakePHP
1351
46
Tutoriel Laravel
1262
25
Tutoriel PHP
1209
29
Afficher plus