為什麼Spring Security不能根據使用者角色適當限制存取？-java教程-PHP中文網

首頁

Java

java教程

為什麼Spring Security不能根據使用者角色適當限制存取？

Susan Sarandon

Dec 13, 2024 pm 09:56 PM

Why Can't Spring Security Properly Restrict Access Based on User Roles?

解決Spring Security 中的角色問題

問題：

問題：

在將為在專案中，我們發現只有「使用者」角色的使用者才能存取特定於管理員的資源。疑似問題出在使用者身分驗證查詢。

分析：

設定嘗試基於記憶體和 JDBC 進行驗證。檢索權限的查詢配置為「select users_username, Roles_id from Roles_users where users_username=?」並在角色前面加上「ROLE_」前綴。

原因：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}

但是，問題源自於授權匹配器順序的邏輯錯誤。匹配器“anyRequest().authenticated()”被錯誤地放置在“antMatchers("/users/all").hasRole("admin")”之前，允許所有經過身份驗證的用戶訪問，無論其角色如何。

解決方案：要解決此問題，應重新組織授權規則以遵循指定的順序在 Spring Security 文件中。下面修改後的配置修正了錯誤：透過此修改，只有具有「admin」角色的使用者才會被授予對「/users/all」的存取權限，非管理員使用者將被限制存取受保護的資源。

以上是為什麼Spring Security不能根據使用者角色適當限制存取？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

JVM如何在不同平台上管理垃圾收集？Apr 28, 2025 am 12:23 AM

JVMmanagesgarbagecollectionacrossplatformseffectivelybyusingagenerationalapproachandadaptingtoOSandhardwaredifferences.ItemploysvariouscollectorslikeSerial,Parallel,CMS,andG1,eachsuitedfordifferentscenarios.Performancecanbetunedwithflagslike-XX:NewRa

為什麼Java代碼可以在不同的操作系統上運行，而無需修改？Apr 28, 2025 am 12:14 AM

Java代碼可以在不同操作系統上無需修改即可運行，這是因為Java的“一次編寫，到處運行”哲學，由Java虛擬機（JVM）實現。 JVM作為編譯後的Java字節碼與操作系統之間的中介，將字節碼翻譯成特定機器指令，確保程序在任何安裝了JVM的平台上都能獨立運行。

描述編譯和執行Java程序的過程，突出平台獨立性。Apr 28, 2025 am 12:08 AM

Java程序的編譯和執行通過字節碼和JVM實現平台獨立性。 1)編寫Java源碼並編譯成字節碼。 2)使用JVM在任何平台上執行字節碼，確保代碼的跨平台運行。

基礎硬件架構如何影響Java的性能？Apr 28, 2025 am 12:05 AM

Java性能与硬件架构密切相关，理解这种关系可以显著提升编程能力。1）JVM通过JIT编译将Java字节码转换为机器指令，受CPU架构影响。2）内存管理和垃圾回收受RAM和内存总线速度影响。3）缓存和分支预测优化Java代码执行。4）多线程和并行处理在多核系统上提升性能。

解釋為什麼本地庫可以破壞Java的平台獨立性。Apr 28, 2025 am 12:02 AM

使用原生庫會破壞Java的平台獨立性，因為這些庫需要為每個操作系統單獨編譯。 1)原生庫通過JNI與Java交互，提供Java無法直接實現的功能。 2)使用原生庫增加了項目複雜性，需要為不同平台管理庫文件。 3)雖然原生庫能提高性能，但應謹慎使用並進行跨平台測試。

JVM如何處理操作系統API的差異？Apr 27, 2025 am 12:18 AM

JVM通過JavaNativeInterface(JNI)和Java標準庫處理操作系統API差異：1.JNI允許Java代碼調用本地代碼，直接與操作系統API交互。 2.Java標準庫提供統一API，內部映射到不同操作系統API，確保代碼跨平台運行。

Java 9影響平台獨立性中引入的模塊化如何？Apr 27, 2025 am 12:15 AM

modularitydoesnotdirectlyaffectJava'splatformindependence.Java'splatformindependenceismaintainedbytheJVM,butmodularityinfluencesapplicationstructureandmanagement,indirectlyimpactingplatformindependence.1)Deploymentanddistributionbecomemoreefficientwi

什麼是字節碼，它與Java的平台獨立性有何關係？Apr 27, 2025 am 12:06 AM

BytecodeinJavaistheintermediaterepresentationthatenablesplatformindependence.1)Javacodeiscompiledintobytecodestoredin.classfiles.2)TheJVMinterpretsorcompilesthisbytecodeintomachinecodeatruntime,allowingthesamebytecodetorunonanydevicewithaJVM,thusfulf

See all articles