首页 >Java >java教程 >为什么Spring Security不能根据用户角色适当限制访问?

为什么Spring Security不能根据用户角色适当限制访问?

Susan Sarandon
Susan Sarandon原创
2024-12-13 21:56:17876浏览

Why Can't Spring Security Properly Restrict Access Based on User Roles?

解决 Spring Security 中的角色问题

问题:

在将 Spring Security 实现为在项目中,我们发现只有“用户”角色的用户才能访问特定于管理员的资源。疑似问题出在用户身份验证查询中。

分析:

配置尝试基于内存和 JDBC 进行身份验证。检索权限的查询配置为“select users_username, Roles_id from Roles_users where users_username=?”并在角色前面加上“ROLE_”前缀。

原因:

但是,问题源于授权匹配器顺序的逻辑错误。匹配器“anyRequest().authenticated()”被错误地放置在“antMatchers("/users/all").hasRole("admin")”之前,允许所有经过身份验证的用户访问,无论其角色如何。

解决方案:

要解决此问题,应重新组织授权规则以遵循指定的顺序在 Spring Security 文档中。下面修改后的配置纠正了错误:

通过此修改,只有具有“admin”角色的用户才会被授予对“/users/all”的访问权限,非管理员用户将被限制访问受保护的资源。

以上是为什么Spring Security不能根据用户角色适当限制访问?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn