java - 具有角色的经过身份验证的用户的 Spring Security Java 配置-6ren

java - 具有角色的经过身份验证的用户的 Spring Security Java 配置

转载作者：搜寻专家更新时间：2023-11-01 01:32:54

25

4

我正在尝试使用带有 Spring Boot 的 Java 配置来配置 Spring Security。

我的 WebSecurityConfig 类有一个这样的配置方法

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/", "/login", "/css/**", "/js/**", "/img/**", "/bootstrap/**" ).permitAll()
            .antMatchers("/individual", "/application", "/upload").hasRole("USER")
        .and()
            .formLogin()
                .loginPage("/login")
                .successHandler(successHandler);

}

我为未经身份验证的用户获得了正常的登录页面，并且用户进行了身份验证。但是，当尝试访问 url/individual 时，我收到 403 错误，这在日志中

2015-11-12 13:59:46.373 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/'
2015-11-12 13:59:46.373 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/login'
2015-11-12 13:59:46.373 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/css/**'
2015-11-12 13:59:46.373 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/js/**'
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/img/**'
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/bootstrap/**'
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.u.matcher.AntPathRequestMatcher  : Checking match of request : '/individual'; against '/individual'
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.a.i.FilterSecurityInterceptor    : Secure object: FilterInvocation: URL: /individual; Attributes: [hasRole('ROLE_USER')]
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.a.i.FilterSecurityInterceptor    : Previously Authenticated: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@4c2eda81: Principal: org.springframework.security.core.userdetails.User@4c0ab982: Username: foo@bar.com; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: USER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@fffc7f0c: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: 6E0BF830C070912EAC0050D1285D5CF9; Granted Authorities: USER
2015-11-12 13:59:46.374 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.access.vote.AffirmativeBased       : Voter: org.springframework.security.web.access.expression.WebExpressionVoter@6f192fd7, returned: -1
2015-11-12 13:59:46.386 DEBUG 34468 --- [nio-8090-exec-6] o.s.s.w.a.ExceptionTranslationFilter     : Access is denied (user is not anonymous); delegating to AccessDeniedHandler

如果我将 .hasRole("USER") 替换为 .authenticated() 它会工作并且用户会获得所需的页面，但不会检查任何角色。

我不知道如何指定用户必须经过身份验证并具有 USER 角色。我看了很多例子并尝试了很多组合，但我无法让它按预期工作。大多数示例也引用了较旧的基于 XML 的配置，我想避免这种情况。

我需要做什么来指定某些 URL 模式可以被具有特定角色的经过身份验证的用户访问？

根据要求，成功处理程序方法如下所示

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication auth)
        throws IOException, ServletException {

    // Here we want to check whether the user has already started the process and redirect to the appropriate stage

    log.info("User {} has been authenticated", auth.getName());

    if(auth.getName().equals("foo@bar.com"))
    {
        redirectStrategy.sendRedirect(request, response, "/individual");
        return;
    }


    redirectStrategy.sendRedirect(request, response, "/application");

}

请注意，根据代码中的注释，这是早期 WIP。我知道这会在日志消息出现时起作用，并且在 WebSecurity 类中没有角色检查时会提供所需的页面。

编辑:注意到问题中涉及 roleService.getDefaultRole() 的错字。这是一个错误，已更正。

最佳答案

我认为您登录的用户 foo@bar.com 设置了错误的权限。在日志中，您可以看到权限是 ['USER']，但由于您使用的是角色，因此它应该是 ['ROLE_USER']。您在哪里定义 foo@bar.com 的权限？

否则尝试切换

.antMatchers("/individual", "/application", "/upload").hasRole("USER")

到

.antMatchers("/individual", "/application", "/upload").hasAuthority("USER")

关于java - 具有角色的经过身份验证的用户的 Spring Security Java 配置，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33673300/

25

4

0

文章推荐： java - System.exit() 可以在不终止 JVM 的情况下返回吗？

文章推荐： javascript - 理解 ES6 符号

文章推荐： ios - iOS 10 中的 UIActivityViewController

uml - guest 、用户、版主、管理员 - vs - 用户(角色 : guest, 用户、版主、管理员)
在为 Web 应用程序用例图建模时，为用户可以拥有的每个角色创建一个角色是否更好？或拥有一个角色、用户和一个具有特权的矩阵？ guest < 用户 < 版主 < 管理员 1: guest 、用户、版主
postgresql - Postgres 不允许更改角色 super 用户，我的默认用户不是 super 用户
我无法使用 Elixir 连接到 Postgres: ** (Mix) The database for PhoenixChat.Repo couldn't be created: FATAL 28P
Java Lambda 流列表<用户> 到映射<角色，列表<用户>>
这个问题已经有答案了: Group by field name in Java (7 个回答) 已关闭 7 年前。我必须编写一个需要 List 的方法并返回 Map> . User包含 Person
PHP，SQL - 获取表 id = 用户 id 的数据并计算行 = 用户 id 的其他表
感谢您的帮助，首先我将显示代码: $dotaz = "Select * from customers JOIN contracts where customers.user_id ='".$_SESS
android - 从 firebase 获取所有 child (用户)但向一个 child (用户)显示按钮？
我只想向所有用户中的一个用户显示一个按钮。我尝试了 orderByKey() 但没有成功! 用户模型有 id 成员，我尝试使用 orderByChild("id") 但结果相同! 我什至尝试了以下技巧
database - 让 PostgreSQL BDR 在没有 super 用户(postgres 用户)权限的情况下工作？
我们在工作中从 MongoDB 切换到 Postgres，我正在建立一个 BDR 组。在这一步，我正在考虑安全性并尽可能锁定。因此，我希望设置一个 replication 用户(角色)并让 BDR
"this.users = users;" not binding to "users;" property(“this.users=用户；”不绑定到“用户；”属性)
export class UserListComponent implements OnInit{ users; constructor(private userService: UserS
symfony - 更改密码在 FOS 用户 bundle + Sonata 用户 bundle +sonata 管理员 bundle 中不起作用
我可以使用 Sonata User Bundle 将 FOS 包集成到 sonata Admin 包中。我的登录功能正常。现在我想添加 FOSUserBundle 中的更改密码等功能到 sonata
oauth - 创建应用程序时，我从 LinkedId 获得的 OAuth 用户 token 和 OAuth 用户 key 的目的是什么
在 LinkedIn 中创建新应用程序时，我得到 4 个单独的代码: API key 秘钥 OAuth 用户 token OAuth 用户密码我在 OAuth 流程中使用前两个。的目的是什么？最后
c# - 用户 '' 登录失败，无法打开登录请求的数据库 "Database1.mdf"。登录失败。用户 'rBcollo-PC\rBcollo' 登录失败
所以..我几乎解决了所有问题。但现在我要处理另一个问题。我使用了这个连接字符串: SqlConnection con = new SqlConnection(@"Data Source=.\SQLEX
javascript - 通过 ids 匹配 2 个数组(用户 [用户 id 作为键] 到订单 [订单 ids 数组的值])
我有一组“用户”和一组“订单”。我想列出每个 user_id 的所有 order_id。 var users = { 0: { user_id: 111, us
django - “用户”对象没有属性is_authenticated
我已经为我的Django应用创建了一个用户模型 class User(Model): """ The Authentication model. This contains the u
laravel - 未定义密码重置器 [用户]
我被这个问题困住了，找不到解决方案。寻找一些方向。我正在用 laravel 开发一个新的项目，目前正致力于用户认证。我正在使用 Laravels 5.8 身份验证模块。对密码恢复 View 做了一些
ansible 用户配置中的当前用户
安装后我正在使用ansible配置几台计算机。为此，我在机器上本地运行 ansible。安装中的“主要”用户通常具有不同的名称。我想将该用户用于诸如 become_user 之类的变量. “主要”用
Django从批处理文件创建 super 用户
我正在尝试制作一个运行 syncdb 的批处理文件来创建一个数据库文件，然后使用用户名“admin”和密码“admin”创建一个 super 用户。到目前为止我的代码: python manage.
Vim 用户，你们的右手放在哪里？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
Azure 故障转移数据库不复制登录名/用户
我已在 Azure 数据库服务器上设置异地复制。服务器上运行的数据库之一具有我通过 SSMS 创建的登录名和用户: https://learn.microsoft.com/en-us/azure/s
Ionic2 NativeStorage无法获取项目(用户)
我有一个 ionic 2 应用程序，正在使用 native FB Login 来检索名称/图片并将其保存到 NativeStorage。流程是我打开WelcomePage、登录并保存数据。从那里，na
Django - 用户 is_active
这是我的用户身份验证方法: def user_login(request): if request.method == 'POST': username = request.P
python - “用户”对象不可迭代
我试图获取来自特定用户的所有推文，但是当我迭代在模板中抛出推文时，我得到“User”对象不可迭代观看次数 tweets = User.objects.get(username__iexact='us

首页

博学

6Ren·AI

商城

java - 具有角色的经过身份验证的用户的 Spring Security Java 配置