首页 >Java >java教程 >为什么我的 Spring Security 基于角色的授权失败?

为什么我的 Spring Security 基于角色的授权失败?

Barbara Streisand
Barbara Streisand原创
2024-12-09 02:28:09954浏览

Why Are My Spring Security Role-Based Authorizations Failing?

修复 Spring Security 中的角色授权

Spring Security 提供强大的授权机制,但不正确的配置可能会导致安全漏洞。本文解决了一个常见问题,即具有有限角色的用户可以访问为管理员保留的资源。

提供的代码片段使用内存中身份验证和 JDBC 身份验证来配置 Spring Security。虽然问题归因于从用户中选择用户名、密码 1,其中用户名=?查询,真正的罪魁祸首在别处。

问题源于authorizeRequests()方法中匹配器的顺序。 Spring Security 按顺序评估匹配器,第一个匹配决定授权决策。在这种情况下,以下匹配器:

.anyRequest().authenticated()

放置在基于角色的匹配器之前:

.antMatchers("/users/all").hasRole("admin")

因此,只要用户经过身份验证,所有请求都会被授权,无论其角色如何。要解决此问题,请重新排序匹配器,以便基于角色的匹配器优先:

protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()
        .httpBasic()
        .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
        .and()
        .exceptionHandling().accessDeniedPage("/403");
}

使用此修订后的配置,仅具有“user”角色的用户将被拒绝访问“/users/all”而具有“admin”角色的用户将具有访问权限。

配置 Spring Security 授权时记住匹配器的顺序很重要,以确保预期的安全策略是强制执行。

以上是为什么我的 Spring Security 基于角色的授权失败?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn