spring - 如何使用 JavaConfig 从 Spring Security 中删除 ROLE_ 前缀？

Question

我正在尝试删除 Spring Security 中的“ROLE_”前缀。我尝试的第一件事是:

http.servletApi().rolePrefix("");

这不起作用，所以我尝试按照 http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-jc.html#m3to4-role-prefixing-disable 中的建议创建一个 BeanPostProcessor .那也没用。

最后，我尝试创建自己的SecurityExpressionHandler:

  @Override
  protected void configure(HttpSecurity http) throws Exception {
      http
          .authorizeRequests()
          .expressionHandler(webExpressionHandler())
          .antMatchers("/restricted").fullyAuthenticated()
          .antMatchers("/foo").hasRole("mycustomrolename")
          .antMatchers("/**").permitAll();
  }

  private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
      DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
      defaultWebSecurityExpressionHandler.setDefaultRolePrefix("");
      return defaultWebSecurityExpressionHandler;
  }

但是，这也不起作用。如果我使用“hasAuthority(roleName)”而不是 hasRole，它会按预期工作。

是否可以从 Spring Security 的 hasRole 检查中删除 ROLE_ 前缀？

Answer 1

从 Spring 4.2 开始，您可以使用单个 bean 定义前缀，如下所述:https://github.com/spring-projects/spring-security/issues/4134

@Bean
GrantedAuthorityDefaults grantedAuthorityDefaults() {
    return new GrantedAuthorityDefaults(""); // Remove the ROLE_ prefix
}

XML 版本:

<beans:bean id="grantedAuthorityDefaults" class="org.springframework.security.config.core.GrantedAuthorityDefaults">
    <beans:constructor-arg value="" />
</beans:bean>