為什麼Spring Security不能根據使用者角色適當限制存取？

解決Spring Security 中的角色問題

問題：

問題：

問題：

在將為在專案中，我們發現只有「使用者」角色的使用者才能存取特定於管理員的資源。疑似問題出在使用者身分驗證查詢。

分析：

設定嘗試基於記憶體和 JDBC 進行驗證。檢索權限的查詢配置為「select users_username, Roles_id from Roles_users where users_username=?」並在角色前面加上「ROLE_」前綴。

原因：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}

但是，問題源自於授權匹配器順序的邏輯錯誤。匹配器“anyRequest().authenticated()”被錯誤地放置在“antMatchers("/users/all").hasRole("admin")”之前，允許所有經過身份驗證的用戶訪問，無論其角色如何。

解決方案：要解決此問題，應重新組織授權規則以遵循指定的順序在 Spring Security 文件中。下面修改後的配置修正了錯誤：透過此修改，只有具有「admin」角色的使用者才會被授予對「/users/all」的存取權限，非管理員使用者將被限制存取受保護的資源。

以上是為什麼Spring Security不能根據使用者角色適當限制存取？的詳細內容。更多資訊請關注PHP中文網其他相關文章！