个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
26
4
我有一个在 Tomcat 应用程序服务器上运行并针对第三方 IdP 进行身份验证的 Spring Boot Web 应用程序。
我们目前在我们的许多应用程序中使用 <security-role> 进行基于角色的身份验证和 <security-constraint>在web.xml , 它工作正常。
现在,尝试使用 Spring Security,我添加了以下配置类:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(final HttpSecurity http) throws Exception {
String[] publicPaths = /*get public paths from properties*/
String[] authorizedPaths = /*get authorized paths from properties*/
String[] authorizedRoles = /*get authorized roles from properties*/
http.csrf().disable()
.jee()
.mappableAuthorities(authorizedRoles)
.and()
.authorizeRequests()
.antMatchers(publicPaths).permitAll()
.antMatchers(authorizedPaths).hasAnyRole(authorizedRoles)
.and()
.logout().disable()
;
}
}
authorizedRoles上面的配置中是有权访问此应用程序的角色。但是,应用程序中还有其他手动检查,只需调用 HttpServletRequest.isUserInRole()确定用户是否具有特定角色。在使用 Spring Security 之前,该调用将返回 true如果该用户在原始请求中具有该角色。添加 Spring Boot 后,该调用仅返回 true如果角色是传递给 .mappableAuthorities() 的角色之一在上面的例子中。通过 HttpServletRequest.isUserInRole() 检查的角色存储在数据库中并且可以经常更新,因此将它们传递给 .mappableAuthorities()当应用程序加载不可行时。
所以,为了切入我的问题,似乎 Spring Security 正在修改原始的 HttpServletRequest并删除所有未包含在 authorizedRoles 中的角色传递给 .mappableAuthorities() .
有没有办法避免这种行为,或者可能将某种通配符传递给 .mappableAuthorities() ,这样您就不必知道应用程序启动时的所有角色,就可以通过调用 HttpServletRequest.isUserInRole() 来访问它们。 ?我一直在查看 Spring Security 文档几个小时,但没有找到任何东西。
最佳答案
您只能看到映射的角色,因为 SecurityContextHolderAwareRequestFilter包装 HttpServletRequest:
A Filter which populates the ServletRequest with a request wrapper which implements the servlet API security methods.
它使用 SecurityContextHolderAwareRequestWrapper实现 servlet API 安全方法:
A Spring Security-aware
HttpServletRequestWrapper, which uses theSecurityContext-definedAuthenticationobject to implement the servlet API security methods:
getUserPrincipal()isUserInRole(String)HttpServletRequestWrapper.getRemoteUser().
要自定义角色映射,请参阅 J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource :
Implementation of AuthenticationDetailsSource which converts the user's J2EE roles (as obtained by calling
HttpServletRequest.isUserInRole(String)) intoGrantedAuthoritys and stores these in the authentication details object.
它使用 MappableAttributesRetriever获取可映射角色:
Interface to be implemented by classes that can retrieve a list of mappable security attribute strings (for example the list of all available J2EE roles in a web or EJB application).
你可以自己写MappableAttributesRetriever它从您的数据库加载可映射角色。
或者您可以使用 WebXmlMappableAttributesRetriever ,它从 web.xml 中检索角色:
This
MappableAttributesRetrieverimplementation reads the list of defined J2EE roles from a web.xml file and returns these fromgetMappableAttributes().
关于java - Spring Security - 角色在 HttpServletRequest 中不可访问,除非通过 mappableAuthorities 指定,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40028122/
26
4
0
这两个人似乎在做同样的事情。谁能解释两者之间的主要区别?你什么时候使用一个与另一个? HttpServletRequest.getRemoteUser() HttpServletRequest.get
我现在尝试了很多东西,但我似乎错过了一 block 拼图。这是故事:我有一个请求范围的 bean,它从 HttpServletRequest 读取一些 SessionContext。此属性在过滤器中设
使用HttpServletRequest.login(String, String)登录后,使用以下代码,在以下请求中,我仍然会收到基本身份验证提示。为什么login函数在我的配置中不起作用? 我的终
我为 HttpservletRequest 设置路径信息,如下所示。 request.setAttribute("javax.servlet.include.path_info", pathInfo)
我在表单和请求方面遇到了这个问题。我正在使用 sencha 和 javascript 创建一个网页,该网页将表单发布到 java Web 应用程序,该应用程序从数据库中提取数据并对其进行格式化,然后再
我曾经在 JSF 2 应用程序中基于 cookie 的对话过滤器中打开 session 。现在我想建立相同的机制,但与技术无关。重用一些代码,我将其编写在扩展 OncePerRequestFilter
我从我的客户端向我的服务器发送一个 ajax 请求。 这是我传递的数据结构: data = {"key1" : "value1" , "key2" : {"subkey1": "subvalue1"
如何使用 HttpServletRequest 中的信息识别集群中的节点? 每个节点唯一的任何信息都是合适的 - 我需要它来区分日志。 最佳答案 你可以尝试获取IP和hostname // Get c
我过滤我的 REST 服务的 BasicAuth 并将用户名存储在 HttpServletRequest 中 AuthFilter相关代码 public class AuthFilter implem
我想实现一个速度工具,它提供了一种方法来查明用户是否登录。我正在使用 VelocityLayoutServlet 以便在每个请求上呈现模板。 我的 velocity-tools.xml 看起来像这样:
我正在 Spring MVC 上 Swagger 玩,运行本地 jetty ,由于某种原因得到一个 null HttpServletRequest,至少可以说这很奇怪。 这是完整的堆栈跟踪: java
Class Permission implements ContainerRequestContext { @context HttpServletRequest servletReq
我在启用双向 SSL 的 Weblogic 10.3 中运行一个 servlet。当我尝试从 HTTPServletRequest 获取以下属性时,它们都是空的: - javax.servlet.re
我已经导入了以下内容导入 javax.servlet.http.*; 我想获取首选语言的浏览器 HttpServletRequest request = ServletActionContext.ge
我想拦截过滤器/servlet 中的请求并向其添加一些参数。但是,该请求不会公开“setParameter”方法,并且在操作参数映射时会抛出一个错误,说明它已被锁定。有没有我可以尝试的替代方案? 最佳
为了测试,我想从一些预定义的数据构建 HttpServletRequest 对象,例如: GET / HTTP/1.1 User-Agent: Opera/9.80 (Windows NT 6.1;
在我的 servlet 中,req.getQueryString() 在向其发送 ajax 请求时返回 null。这是因为 req.getQueryString() 只适用于 GET 而不是 POST
我使用打印编写器直接在 servlet 中打印列表,然后打印列表。 当我尝试放入 jsp 时,列表不会打印我使用的是 JSTL 还是 scriptlet。 我尝试在 JSTL 和 scriptlet
我有一个 jsp,其中包含一个 jquery post 到我的 tomcat 服务器上的一个 servlet,它创建了一个 HttpServletRequest。我想确保只处理我的 jsp 对我的 s
我对HttpServletRequest生命对象有疑问。 request对象进入controller后是否被销毁? 最佳答案 HttpServletRequest 对象的生命周期就是:为 HTTP S
我是一名优秀的程序员,十分优秀!