Spring Security - GrantedAuthority 和基于角色的访问

Question

我正在使用自定义的 UserDetailService，它可以很好地进行身份验证。问题是我不能使用基于角色的约束。

奇怪的是，我从控制器那里得到了正确的权限：

public ModelAndView getMembers(HttpServletRequest request, Authentication auth) 
{
   if(auth != null)
   {
      for (GrantedAuthority ga : auth.getAuthorities())
      {
         // works find and logs "ADMIN", btw. I'm using SimpleGrantedAuthority
         this.logger.debug("0{}", ga);
      }
   }
}

但是有配置

http
   .csrf().disable()
   .authorizeRequests()
   .antMatchers("/Admin/**").hasRole("ADMIN")
   …

用户无法访问页面，例如/管理员/成员。

thymeleaf-security-tags 也是如此，例如

<div sec:authorize="isAuthenticated() && hasRole('ADMIN')">Hello Admin!</div>

不显示“您好管理员！”对于控制器记录权限“ADMIN”的用户。

我猜我遗漏了什么或使用了错误的东西。

感谢您的时间和帮助。

Answer 1

正如 cmets 中所说，您必须使用 hasAuthority("ADMIN") 而不是 hasRole("ADMIN")。

区分授予权限和角色很重要。 Baeldung 有一篇文章对此进行了解释：Granted Authority Versus Role in Spring Security。从这篇文章我们可以理解其中的区别：

授权

在 Spring Security 中，我们可以将每个 GrantedAuthority 视为一个单独的权限。示例可能包括 READ_AUTHORITY、WRITE_PRIVILEGE 甚至 CAN_EXECUTE_AS_ROOT。 [...]

当直接使用 GrantedAuthority 时，例如通过使用 hasAuthority('READ_AUTHORITY') 之类的表达式，我们以细粒度的方式限制访问。

作为权威的角色

类似地，在 Spring Security 中，我们可以将每个角色视为粗粒度的 GrantedAuthority，它表示为字符串并以“ROLE”为前缀。当直接使用 Role 时，例如通过 hasRole(“ADMIN”) 之类的表达式，我们以粗粒度方式限制访问。