java - Spring Security hasAnyRole 不起作用-6ren

java - Spring Security hasAnyRole 不起作用

转载作者：搜寻专家更新时间：2023-10-31 19:54:58

26

4

我正在开发一个带有 spring 安全认证和 MongoDB 的应用程序。身份验证方法工作正常，但仅适用于 ROLE_ADMIN。我需要身份验证的所有方法都带有注释:

@PreAuthorize("hasAnyRole('ROLE_ADMIN', 'ROLE_USER')")

当我尝试向具有 ROLE_USER 的用户进行身份验证时，我总是遇到访问被拒绝的错误。

我的 spring 安全配置是:

<security:global-method-security pre-post-annotations="enabled" />  
<security:http auto-config="true" use-expressions="true">
<intercept-url pattern="/login" access="permitAll" />
<intercept-url pattern="/logout" access="permitAll" />
<intercept-url pattern="/admin/**" 
  access="hasRole('ROLE_ADMIN') and hasRole('ROLE_USER')" />
<security:form-login login-page="/login" default-target-url="/admin/main" 
   authentication-failure-url="/accessdenied" />
        <security:logout logout-success-url="/logout" />

        <security:session-management>
            <security:concurrency-control error-if-maximum-exceeded="true" 
               max-sessions="1"/>
        </security:session-management>
    </security:http>

如果我使用:

<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN') and hasRole('ROLE_USER')" />

ROLE_ADMIN 和 ROLE_USER 的访问都被拒绝。

如果我使用:

<intercept-url pattern="/admin/**" access="hasAnyRole('ROLE_ADMIN', 'ROLE_USER')" />

我可以使用 ROLE_ADMIN 用户登录，但不能使用 ROLE_USER。

在我的 LoginService 中我有:

public UserDetails loadUserByUsername(String email)
            throws UsernameNotFoundException {
        boolean enabled = true;
        boolean accountNonExpired = true;
        boolean credentialsNonExpired = true;
        boolean accountNonLocked = true;

        User user = getUserDetail(email);

        userdetails = new org.springframework.security.core.userdetails.User(
                user.getEmail(), user.getPwd(), enabled,
                accountNonExpired, credentialsNonExpired, accountNonLocked,
                getAuthorities(user.getIsAdmin()));

        return userdetails;
    }

    public List<GrantedAuthority> getAuthorities(Integer role) {
        List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
        if (role.intValue() == 0) {
            authList.add(new SimpleGrantedAuthority("ROLE_USER"));
        } else if (role.intValue() == 1) {
            authList.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        }
        System.out.println(authList);
        return authList;
    }

我错过了什么？

最佳答案

当你遇到此类问题时，请先尝试添加多个System.out.println(或debug log)看看你的方法是否有效，同时更改:

hasRole('ROLE_ADMIN') and hasRole('ROLE_USER')

对于

hasRole('ROLE_ADMIN') or hasRole('ROLE_USER')

并检查 role.intValue() == 0 是否使用 sysout 打印 true。

关于java - Spring Security hasAnyRole 不起作用，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/25340163/

26

4

0

文章推荐： java - 从静态初始值设定项初始化静态最终字段

文章推荐： java - 找到位于二维平面中同一条直线上的最大点数

文章推荐： java - 在 Java 调试 session 期间查找大字符串分配

实例分析Try {} Catch{} 作用
今天有小伙伴给我留言问到，try{...}catch(){...}是什么意思？它用来干什么？简单的说他们是用来捕获异常的下面我们通过一个例子来详细讲解下
html - 列表社交媒体链接的 ARIA 作用
我正在努力提高网站的可访问性，但我不知道如何在页脚中标记社交媒体链接列表。这些链接指向我在 facecook、twitter 等上的帐户。我不想用 role="navigation" 标记这些链接，因
java.util.Timer SystemTime 作用？
说现在是 6 点，我有一个 Timer 并在 10 点安排了一个 TimerTask。之后，System DateTime 被其他服务(例如 ntp)调整为 9 点钟。我仍然希望我的 TimerTas
php - 什么是 Doctrine hydration 作用？
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
python入门:argparse浅析 nargs='+'作用
我就废话不多说了，大家还是直接看代码吧~ ? 1
Maven是什么?Maven的概念+作用+仓库的介绍+常用命令的详解
Maven系列1 1.什么是Maven？ Maven是一个项目管理工具，它包含了一个对象模型。一组标准集合，一个依赖管理系统。和用来运行定义在生命周期阶段中插件目标和逻辑。核心功能 Mav

首页

博学

6Ren·AI

商城

java - Spring Security hasAnyRole 不起作用