Spring Security 标签库 sec :authorize with role hierarchy not working-6ren

Spring Security 标签库 sec :authorize with role hierarchy not working

转载作者：行者123 更新时间：2023-12-02 22:24:46

25

4

我无法让 sec:authorize hasRole() 使用角色层次结构。如果我有一个角色为 ROLE_BOSS 的用户，它是 ROLE_WORKER 的父级，那么由于某种原因是错误的。然而，在我的服务类中，@PreAuthorize("hasRole('ROLE_WORKER')") 确实有效。我假设他们都使用相同的评估器，那么为什么 taglib 不起作用？感谢您的帮助。

JSP:

<sec:authorize access="hasRole('ROLE_BOSS')">
  <p>This shows up.</p>
</sec:authorize>
<sec:authorize access="hasRole('ROLE_WORKER')">
  <p>This does not show up, but should.</p>
</sec:authorize>

-config.xml 安全性:

<bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
  <property name="permissionEvaluator" ref="permissionEvaluator"/>
  <property name="roleHierarchy" ref="roleHierarchy"/>
</bean>

<sec:global-method-security pre-post-annotations="enabled">
  <sec:expression-handler ref="expressionHandler"/>
</sec:global-method-security>

<bean id="permissionEvaluator" class="com.myapp.security.MyPermissionEvaluator">
  <constructor-arg index="0">
    <map key-type="java.lang.String" value-type="com.myapp.security.Permission">
      <entry key="contractReadAccess" value-ref="contractReadPermission"/>
      <entry key="contractWriteAccess" value-ref="contractWritePermission"/>
    </map>
  </constructor-arg>
</bean>

<bean id="contractReadPermission" class="com.myapp.security.ContractReadPermission"/>
<bean id="contractWritePermission" class="com.myapp.security.ContractWritePermission"/>

<sec:http use-expressions="true" access-decision-manager-ref="accessDecisionManager">
  <sec:intercept-url pattern="/worker/**" access="isAuthenticated()" requires-channel="https"/>
  <sec:intercept-url pattern="/boss/**" access="hasRole('ROLE_BOSS')" requires-channel="https"/>

  <sec:form-login login-page="/login" authentication-failure-url="/login?login_error=1" authentication-success-handler-ref="successHandler"/>
  <sec:logout logout-url="/logout" logout-success-url="/login" invalidate-session="true"/>
<sec:remember-me/>
</sec:http>

<bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
  <constructor-arg>
    <list>
      <ref bean="roleVoter" />
      <bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
        <property name="expressionHandler">
          <bean class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
            <property name="roleHierarchy" ref="roleHierarchy"/>
          </bean>
        </property>
      </bean>
      <bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
    </list>
  </constructor-arg>
</bean>

<bean id="roleVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter">
  <constructor-arg ref="roleHierarchy" />
</bean>

<bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
  <property name="hierarchy">
    <value>
      ROLE_BOSS > ROLE_WORKER
    </value>
  </property>
</bean>

<sec:authentication-manager alias="authenticationManager">
  <sec:authentication-provider user-service-ref="myUserDetailsService"/>
</sec:authentication-manager>

最佳答案

对于像我这样使用 Java Config 的人。这是一个非常简单的解决方案，只需在扩展 WebSecurityConfigurerAdapter 的类中添加以下代码即可:

@Bean
    public RoleHierarchyVoter roleVoter() {
        return new RoleHierarchyVoter(roleHierarchy());
    }

    @Bean
    public RoleHierarchy roleHierarchy() {
        RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
        roleHierarchy.setHierarchy("ROLE_BOSS > ROLE_WORKER");
        return roleHierarchy;
    }

    private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
        DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
        defaultWebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
        return defaultWebSecurityExpressionHandler;
    }

    @Override
    public void init(WebSecurity web) throws Exception {
        web.expressionHandler(webExpressionHandler());
        super.init(web);
    }

关于Spring Security 标签库 sec :authorize with role hierarchy not working，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13132922/

25

4

0

文章推荐： CakePHP 2.1 哈希与集合

文章推荐： javascript - 康瓦 : get corners coordinate of a rotated rectangle

文章推荐： sql - 为什么调用函数比直接执行函数代码要花更多的时间

java - 区别: 'sec:authentication' & 'sec:authentication property'
我已经包含了在我的 html 页面中显示我的页面中的用户名。我还找到了显示相同的内容。我需要知道的是，这些方法之间从 LDAP/DB 中选取用户名的方式是否有区别？哪种方法可以保持最佳响应时间？
mysql - mysql执行时间差异很大: minimum 2 secs - maximum 120 secs
情况:我使用(php)cronjob 来保持我的数据库最新。受影响的表包含大约 40,000 条记录。基本上，cronjob 会删除所有条目并随后插入它们(具有不同的 ofc 值)。我必须这样做，因为
java - Thymeleaf:sec:authentication 在任何情况下都会显示，而 sec:authorize 在任何情况下都不会出现
每个与 sec:authentication="..."无论是否登录都会显示。甚至是明确的false导致div出现。另一边与sec:authorize="..."即使有明确的 true 也是隐藏的.
http - 从 "Sec-WebSocket-Accept"生成 "Sec-WebSocket-Key"
我正在关注 rfc6455 : Concretely, if as in the example above, the |Sec-WebSocket-Key| header field had the
c# - Timespan(0,0,secs) 或 Timespan.FromSeconds(secs)
Timespan(0,0,secs) 和 Timespan.FromSeconds(secs) 的返回值有区别吗？在我看来，不同之处在于 FromSeconds 接受 double。最佳答案最终
linux - Thymeleaf sec :authorize and sec:authentication attributes, 对生产没有影响，但在 IDE 上工作正常
美好的一天，就我而言，一切都很好，并且在 localhost ide 上运行良好，但在 linux thymeleaf 下的站点上 sec:authorize 和 sec:authentication
objective-c - UIView 子类 : performSelecter:withDelay: say 5 secs but the view is removed at 3rd sec?
我有一个 UIView 子类，在某些情况下我需要改变它的颜色一段时间，比如 5 秒，然后再改变颜色，我使用的方法是 performSelector:afterDelay: 和我传入的选择器是将颜色改回
Java 服务器，TLSv1.1 快，TLSv1.2 极慢(90MByte/sec 对比 4MByte/sec)
测试之间的唯一变化是更改 TLS 版本。 Chrome 和 FireFox 之间的行为是相同的。 TLSv1 和 TLSv1.1 均达到 90 兆字节/秒。他们在 Java 6 (TLSv1) 和 J
python - 将文本列拆分为最小值 :sec
我在数据框中有一个时间详细信息作为文本。 dict1={'time' : ['2 min 19 sec','2 min 43 sec','1 min 33 sec','32 sec','40 sec'
02、SECS-II通信协议介绍
这里我们先学习 SECS-II 协议，给我的感受是先学完 SECS-II 协议，再去学习 SECS-I 和 HSMS 协议更加容易理解，所以这里我先介绍 SECS-II 协议。文章的
03、SECS-I协议介绍
03、SECS-I 协议介绍上一篇我们学习了 SECS-II 协议，对 SECS-II 协议有了初略的了解，现在我们再来一起学习 SECS-I 协议。文章的内容基本上来自参考
python - 列出超出 SEC 网络爬虫范围的索引
这里的 super 新手有一个 friend 帮助我制作了这个用于查看对冲基金 13fs 的网络爬虫。之前它运行良好，但最近我遇到了这个错误: response_two = get_request(s
r - ggplot2 条形图将标签从秒转换为分钟 :sec
我想创建一个条形图，其中 y 轴使用“min:sec”作为标签。但是，我要显示的数据以秒为单位。现在最好的方法是什么？ zone time_in_zone 1 305
java - 无法找到或加载主类 sec java
文件名first.java package p1; public class first { int a; public void display() { System.out.pri
python - 如何从python中的.sec.gz类型的ftp服务器读取文件
我正在尝试读取和存储名为xx.sec.gz.的文件。正在下载该文件很好，但是其中存在的数据完全不同（无法读取）。我使用了retrbinary .....除了retrbinary之外，python中存在
c++ - PacketReceived/Sec 值非常高
class Win32_PerfRawData_Tcpip_NetworkInterface : Win32_PerfRawData { uint32 BytesReceivedPerSec;
matlab - 以分钟为单位绘制格式化时间 (min.sec)
我试图在 Matlab 中绘制一些关于分钟而不是秒的数据作为格式化时间，即 min.sec。我有实时数据流，在收到每个样本的地方，它的时间以秒为单位也被发送。然后我根据时间绘制它们。现在，由于我的
java - mtime.sec 不存在
我在这里面临一个棘手的情况。我有一个基于 java 的应用程序，它试图通过 scp 远程机器复制某些文件。在执行这些任务时，我从应用程序端发现以下错误消息。 scp protocol error mt
javascript - 将
我创建了一个弗兰肯斯坦式的音频播放器，并且在轨道计时方面需要一些帮助。我现在有了它，所以它从 0 开始计数 -> 无论轨道时间是多少，以秒为单位。我似乎不知道如何将这些秒转换为分钟:秒。我是使用 J
spring-mvc - sec:authorize和sec:authentication注释不起作用
我有一个带有以下 View 代码的Spring + Thymeleaf项目。 Contacts Welcome to the site! Wrong us

首页

博学

6Ren·AI

商城

Spring Security 标签库 sec :authorize with role hierarchy not working