解決 Spring Security 中無效的角色檢查
在 Spring Security 中,設定授權有時會導致意外的角色檢查。讓我們解決所提供的程式碼片段中突出顯示的問題:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// ...
auth
.jdbcAuthentication()
.dataSource(dataSource)
.usersByUsernameQuery("select username, password, 1 from users where username=?")
.authoritiesByUsernameQuery("select users_username, roles_id from roles_users where users_username=?")
.rolePrefix("ROLE_");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// ...
http
.csrf().disable();
http
.httpBasic();
http
.authorizeRequests()
.anyRequest().authenticated();
http
.authorizeRequests()
.antMatchers("/users/all").hasRole("admin")
.and()
.formLogin();
http
.exceptionHandling().accessDeniedPage("/403");
}
問題:
當僅具有「USER」角色的使用者登入時,他們能夠存取受“admin”角色保護的資源。問題在於「users」表中使用者名列的主鍵約束。
解決方案:
提供的查詢「選擇用戶名,密碼, 1 from users where username=?" 是不夠的,因為它總是返回單行,無論用戶的角色如何。這允許用戶承擔他們想要的任何角色,即使未在資料庫中授予。
要解決此問題,應更新查詢以傳回使用者的角色:
.usersByUsernameQuery("select username, password, role from users where username=?")
附加說明:
授權配置中匹配器的順序至關重要。以下匹配器"anyRequest().authenticated() 應位於antMatchers("/users/all").hasRole("admin") 之前,以確保只有經過身份驗證的使用者才能存取該應用程式。
以上是儘管分配了資料庫角色,為什麼我的 Spring Security 基於角色的存取控制仍會失敗?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
為什麼Java是開發跨平台桌面應用程序的流行選擇?Apr 25, 2025 am 12:23 AMjavaispopularforcross-platformdesktopapplicationsduetoits“ writeonce,runany where”哲學。 1)itusesbytiesebyTecodeThatrunsonAnyJvm-備用Platform.2)librarieslikeslikeslikeswingingandjavafxhelpcreatenative-lookingenative-lookinguisis.3)
討論可能需要在Java中編寫平台特定代碼的情況。Apr 25, 2025 am 12:22 AM在Java中編寫平台特定代碼的原因包括訪問特定操作系統功能、與特定硬件交互和優化性能。 1)使用JNA或JNI訪問Windows註冊表;2)通過JNI與Linux特定硬件驅動程序交互;3)通過JNI使用Metal優化macOS上的遊戲性能。儘管如此,編寫平台特定代碼會影響代碼的可移植性、增加複雜性、可能帶來性能開銷和安全風險。
與平台獨立性相關的Java開發的未來趨勢是什麼?Apr 25, 2025 am 12:12 AMJava將通過雲原生應用、多平台部署和跨語言互操作進一步提昇平台獨立性。 1)雲原生應用將使用GraalVM和Quarkus提升啟動速度。 2)Java將擴展到嵌入式設備、移動設備和量子計算機。 3)通過GraalVM,Java將與Python、JavaScript等語言無縫集成,增強跨語言互操作性。
Java的強鍵入如何有助於平台獨立性?Apr 25, 2025 am 12:11 AMJava的強類型系統通過類型安全、統一的類型轉換和多態性確保了平台獨立性。 1)類型安全在編譯時進行類型檢查,避免運行時錯誤;2)統一的類型轉換規則在所有平台上一致;3)多態性和接口機制使代碼在不同平台上行為一致。
說明Java本機界面(JNI)如何損害平台獨立性。Apr 25, 2025 am 12:07 AMJNI會破壞Java的平台獨立性。 1)JNI需要特定平台的本地庫,2)本地代碼需在目標平台編譯和鏈接,3)不同版本的操作系統或JVM可能需要不同的本地庫版本,4)本地代碼可能引入安全漏洞或導致程序崩潰。
是否有任何威脅或增強Java平台獨立性的新興技術?Apr 24, 2025 am 12:11 AM新興技術對Java的平台獨立性既有威脅也有增強。 1)雲計算和容器化技術如Docker增強了Java的平台獨立性,但需要優化以適應不同雲環境。 2)WebAssembly通過GraalVM編譯Java代碼,擴展了其平台獨立性,但需與其他語言競爭性能。
JVM的實現是什麼,它們都提供了相同的平台獨立性?Apr 24, 2025 am 12:10 AM不同JVM實現都能提供平台獨立性,但表現略有不同。 1.OracleHotSpot和OpenJDKJVM在平台獨立性上表現相似,但OpenJDK可能需額外配置。 2.IBMJ9JVM在特定操作系統上表現優化。 3.GraalVM支持多語言,需額外配置。 4.AzulZingJVM需特定平台調整。
平台獨立性如何降低發展成本和時間?Apr 24, 2025 am 12:08 AM平台獨立性通過在多種操作系統上運行同一套代碼,降低開發成本和縮短開發時間。具體表現為:1.減少開發時間,只需維護一套代碼;2.降低維護成本,統一測試流程;3.快速迭代和團隊協作,簡化部署過程。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
SublimeText3漢化版
中文版,非常好用
MantisBT
Mantis是一個易於部署的基於Web的缺陷追蹤工具,用於幫助產品缺陷追蹤。它需要PHP、MySQL和一個Web伺服器。請查看我們的演示和託管服務。
Atom編輯器mac版下載
最受歡迎的的開源編輯器
