使用 Spring Security 的 Thymeleaf 授权不起作用[重复]答案

【问题标题】：Thymeleaf authorization with Spring Security doesn't work [duplicate]使用 Spring Security 的 Thymeleaf 授权不起作用[重复]
【发布时间】：2017-09-20 11:37:55
【问题描述】：

我在我的 Spring Boot 应用程序中使用 Spring Security，Thymeleaf 授权似乎无法正常工作。

我有带有以下代码的 Thymeleaf 模板：

<div class="container">
    <div class="row" sec:authorize="isAuthenticated()">
        <h2 style="color:green">User is Logged In</h2>
        <p sec:authentication="principal.username">username</p>
    </div>

    <div class="row" sec:authorize="!isAuthenticated()">
        <h2 style="color:red">User is Logged Out</h2>
    </div>

    <div class="row" sec:authorize="hasRole('ROLE_SUPERUSER')">
        <h2>This will only be displayed if authenticated user has role ROLE_SUPERUSER.</h2>
    </div>

    <div class="row" sec:authorize="hasRole('ROLE_ADMIN')">
        <h2>This will only be displayed if authenticated user has role ROLE_ADMIN.</h2>
    </div>

    <div class="row" sec:authorize="hasRole('ROLE_USER')">
        <h2>This will only be displayed if authenticated user has role ROLE_USER.</h2>
    </div>

    <div th:if="${#authorization.expression('hasRole(''ROLE_ADMIN'')')}">
        This will only be displayed if authenticated user has role ROLE_ADMIN.
    </div>

    <div th:if="${#authorization.expr('hasRole(''ROLE_ADMIN'')')}">
        This will only be displayed if authenticated user has role ROLE_ADMIN.
    </div>
</div>

示例来自：https://github.com/thymeleaf/thymeleaf-extras-springsecurity

但是显示的唯一内容是sec:authorize="isAuthenticated()" 和sec:authorize="!isAuthenticated()"，并且无论用户的角色如何，授权总是被忽略。

我的百里香配置是：

@Configuration
public class ThymeleafConfig {

    @Bean
    public TemplateResolver defaultTemplateResolver() {
        TemplateResolver resolver = new TemplateResolver();
        resolver.setResourceResolver(thymeleafResourceResolver());
        resolver.setPrefix("classpath:/templates/");
        resolver.setSuffix(".html");
        resolver.setTemplateMode("HTML5");
        resolver.setCharacterEncoding("UTF-8");
        resolver.setCacheable(true);
        return resolver;
    }

    @Bean
    public SpringResourceResourceResolver thymeleafResourceResolver() {
        return new SpringResourceResourceResolver();
    }

    @Bean
    public SpringTemplateEngine templateEngine(TemplateResolver templateResolver) {
        SpringTemplateEngine engine = new SpringTemplateEngine();
        engine.setTemplateResolver(templateResolver);
        engine.addDialect(new SpringSecurityDialect());
        engine.addDialect(new LayoutDialect());
        return engine;
    }

    @Bean
    public ThymeleafViewResolver thymeleafViewResolver(SpringTemplateEngine templateEngine) {
        ThymeleafViewResolver resolver = new ThymeleafViewResolver();
        resolver.setTemplateEngine(templateEngine);
        resolver.setCharacterEncoding("UTF-8");
        resolver.setContentType("text/html");
        resolver.setOrder(Ordered.LOWEST_PRECEDENCE - 5);
        return resolver;
    }

}

我对@987654322@ 使用以下依赖项：

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>2.1.3.RELEASE</version>
</dependency>

版本 3.0.2.RELEASE 根本不起作用，sec 命名空间总是被 Thymeleaf 忽略。
我的 Spring Boot 版本是1.5.2.RELEASE。

可能是什么原因？

更新。SecurityConfig 中的 configure(HttpSecurity http) 方法如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().ignoringAntMatchers("/h2-console").disable()
            .authorizeRequests()
                .antMatchers("/webjars/**", "/static/**", "/images/**", "/**/favicon.ico").permitAll()
                .antMatchers("/heat/**", "/power/**", "/water/**").permitAll()

            // start allowing h2-console
                .antMatchers("/h2-console/**").permitAll();
            http.csrf().disable();
            http.headers().frameOptions().disable()
            // end allowing h2-console

            .and().authorizeRequests().antMatchers("/info").permitAll()
            .and().authorizeRequests().antMatchers("/users/**").authenticated()
            .and().authorizeRequests().antMatchers("/users/**").hasAnyAuthority("ADMIN", "SUPERUSER")

            .and().formLogin()
                    .loginPage("/login")
                    .permitAll()
            .and()
                    .logout()
                    .permitAll()
                    .deleteCookies("remove")
                    .logoutUrl("/logout")
                    .logoutSuccessUrl("/")
                    .invalidateHttpSession(true)

            .and().exceptionHandling().accessDeniedPage("/access_denied");
}

IndexController 的映射非常简单，它只返回 login 模板：

@RequestMapping("/login")
public String loginForm() {
    return "login";
}

【问题讨论】：

据我所知，角色只是一个带有特殊 ROLE_ 前缀的权限。我的角色没有这个前缀，它们只是USER、ADMIN 等等：i.stack.imgur.com/jpBA1.png
当我使用hasRole 时，我会在我的角色前面加上ROLE_，但表中的角色名称本身没有这个前缀。
@DimaSan：这就是重点。如果使用hasRole，则必须在数据库中使用前缀。但是您可以配置不同的前缀或使用hasAuthority（如您的回答）。
是的，您是对的，现在我可以确认它可以按照您的描述工作。那么，让角色名称带有或不带有 ROLE_ 前缀的最佳做法是什么？
我只使用带前缀的角色名，因为我不喜欢太多的自定义配置。我尽量使用默认值。但是 Spring 开发人员会说，两者皆有可能是你的决定。

标签： java spring-boot spring-security thymeleaf

【解决方案1】：

解决任务的另一种方法是使用以下语法检查角色：

<div class="row" th:if="${#request.isUserInRole('SUPERUSER')}">
    <h2>This will only be displayed if authenticated user has role ROLE_SUPERUSER.</h2>
</div>

它不使用 sec 命名空间，实际上根本不需要 thymeleaf-extras-springsecurity4 依赖项来使用它。

【讨论】：

谢谢你的建议，但结果是一样的，Thymeleaf 完全忽略了用户的角色。顺便说一句，右边是th:if="${#httpServletRequest.isUserInRole('SUPERUSER')}"。
@DimaSan 嗯，可能是版本不匹配。
你是说 Thymelaf 版本吗？我使用 spring-boot-starter-thymeleaf 依赖和 Thymeleaf 版本有 2.1.5.RELEASE。
感谢您的回答。无论我尝试什么，我都无法获得 sec:authorize 工作。它总是返回 true。不过你回答得很完美。
这实际上对我的 spring mvc 和 spring security 4.2.3 有效

【解决方案2】：

要尝试的事情：

1) 使用 @EnableWebMvc 注释您的配置。

2) 仅将 ROLE_ADMIN 替换为 ADMIN（以及其他相应的）。

3) 在您的控制器中，打印此内容以查看您当前的角色：

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

Set<String> roles = authentication.getAuthorities().stream()
     .map(r -> r.getAuthority()).collect(Collectors.toSet());

System.out.println(roles);

如果这对您不起作用，不妨试试 getUserPrincipal() 和 HttpServletRequest。

简短：

我包含了我的 MVC 配置，以便您可以尝试最新的 Thymeleaf 和 Spring Security 版本。那里有一些额外的配置，因此您可以删除与您的项目无关的内容。

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configuration) {

        configuration.enable();
    }

    @Bean
    public ThymeleafViewResolver viewResolver() {

        ThymeleafViewResolver resolver = new ThymeleafViewResolver();
        resolver.setOrder(1);
        resolver.setCharacterEncoding(StandardCharsets.UTF_8.name());
        resolver.setTemplateEngine(templateEngine());
        return resolver;
    }

    @Bean
    public TemplateEngine templateEngine() {

        Set<ITemplateResolver> templateResolvers = new LinkedHashSet<>(1);
        templateResolvers.add(webTemplateResolver());

        SpringTemplateEngine templateEngine = new SpringTemplateEngine();
        templateEngine.setTemplateResolvers(templateResolvers);
        Set<IDialect> dialects = new LinkedHashSet<>(2);
        dialects.add(new SpringSecurityDialect());
        dialects.add(new Java8TimeDialect());
        templateEngine.setAdditionalDialects(dialects);
        return templateEngine;
    }

    @Bean
    public ITemplateResolver webTemplateResolver() {

        SpringResourceTemplateResolver resolver = new SpringResourceTemplateResolver();
        resolver.setPrefix("/WEB-INF/thymeleaf/");
        resolver.setTemplateMode(TemplateMode.HTML);
        resolver.setCharacterEncoding(StandardCharsets.UTF_8.name());
        resolver.setSuffix(".html");
        resolver.setCacheable(false);
        resolver.setOrder(2);
        return resolver;
    }

    @Bean
    public ViewResolver tilesViewResolver() {

        UrlBasedViewResolver viewResolver = new UrlBasedViewResolver();
        viewResolver.setViewClass(TilesView.class);
        viewResolver.setOrder(0);
        return viewResolver;
    }

    @Bean
    public TilesConfigurer tilesConfigurer() {

        TilesConfigurer configurer = new TilesConfigurer();
        configurer.setDefinitions("/WEB-INF/**/views.xml");
        return configurer;
    }

    @Bean
    public LocalValidatorFactoryBean validator() {

        return new LocalValidatorFactoryBean();
    }

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {

        registry.addViewController("/403");
        registry.addViewController("/404");
        registry.addViewController("/about");
        //edited for brevity
    }

    @Bean
    public ReloadableResourceBundleMessageSource messageSource() {

        ReloadableResourceBundleMessageSource source = new ReloadableResourceBundleMessageSource();
        source.setBasename("classpath:messages");
        source.setDefaultEncoding(StandardCharsets.UTF_8.name());
        return source;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(localeChangeInterceptor());
        registry.addInterceptor(themeChangeInterceptor());
        registry.addInterceptor(deviceResolverHandlerInterceptor());
        super.addInterceptors(registry);
    }

    @Bean
    public HandlerInterceptor localeChangeInterceptor() {

        LocaleChangeInterceptor interceptor = new LocaleChangeInterceptor();
        interceptor.setParamName("lang");
        return interceptor;
    }

    @Bean
    public HandlerInterceptor themeChangeInterceptor() {

        ThemeChangeInterceptor interceptor = new ThemeChangeInterceptor();
        interceptor.setParamName("theme");
        return interceptor;
    }

    @Bean
    public ResourceBundleThemeSource themeSource() {

        ResourceBundleThemeSource themeSource = new ResourceBundleThemeSource();
        themeSource.setBasenamePrefix("theme-");
        return themeSource;
    }

    @Bean
    public PersistedThemeResolver themeResolver() {

        PersistedThemeResolver resolver = new PersistedThemeResolver();
        resolver.setDefaultThemeName("default");
        return resolver;
    }

    @Bean
    public HandlerInterceptor deviceResolverHandlerInterceptor() {

        return new DeviceResolverHandlerInterceptor();
    }

    @Bean
    public CookieLocaleResolver localeResolver() {

        CookieLocaleResolver resolver = new CookieLocaleResolver();
        resolver.setDefaultLocale(Locale.US);
        return resolver;
    }

    //removed custom bean declaration

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {

        argumentResolvers.add(new ServletWebArgumentResolverAdapter(new DeviceWebArgumentResolver()));
        super.addArgumentResolvers(argumentResolvers);
    }

    @Bean
    public Executor taskExecutor() {

        ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor();
        executor.setCorePoolSize(100);
        executor.initialize();
        return executor;
    }
}

工作 pom 摘录：

    <dependency>
        <groupId>org.thymeleaf</groupId>
        <artifactId>thymeleaf</artifactId>
        <version>3.0.2.RELEASE</version>
        <exclusions>
            <exclusion>
                <groupId>javassist</groupId>
                <artifactId>javassist</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

    <dependency>
        <groupId>org.thymeleaf</groupId>
        <artifactId>thymeleaf-spring4</artifactId>
        <version>3.0.2.RELEASE</version>
    </dependency>

    <dependency>
        <groupId>org.thymeleaf.extras</groupId>
        <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        <version>3.0.0.RELEASE</version>
    </dependency>

【讨论】：

不幸的是，使用您的WebMvcConfig 配置，行为是相同的：权限与antMatchers 一起使用（以便管理员可以访问.authorizeRequests().antMatchers("/users/**").hasAnyAuthority("ADMIN", "SUPERUSER") 页面，在SpringSecurityConfig 中配置）但它们没有呈现在带有 sec:authorize 标签的 Thymeleaf 模板中。正如我所料，角色也是从控制器打印的，管理员有USER 和ADMIN 角色。 thymeleaf-extras-springsecurity4 肯定有问题。无论如何，非常感谢您的帮助。
好吧，完全是猜测，但我用我的 POM 中的 sn-p 更新了我的问题。我还没有对 Spring Security 进行小升级，但是这种组合在没有 Boot 的情况下对我有用。这一切都假设sec 命名空间当然是在 HTML 文件的顶部定义的。

【解决方案3】：

经过多次尝试不同配置后，我找到了一种解决方法。在这种情况下，sec:authorize="hasAuthority('ADMIN')" 属性有效：

<div class="row" sec:authorize="hasRole('ROLE_ADMIN')">
    <div class="col-md-10 col-md-offset-2">
        <h2>User Has Role Admin</h2>
    </div>
</div>
<div class="row" sec:authorize="hasAuthority('ADMIN')">
    <div class="col-md-10 col-md-offset-2">
        <h2>User Has Authority Admin</h2>
    </div>
</div>

和User Has Authority Admin 标头呈现在页面上。

仍然不知道为什么sec:authorize="hasRole('ROLE_ADMIN')" 属性不起作用，正如thymeleaf-extras-springsecurity GitHub 页面上的示例所建议的那样： https://github.com/thymeleaf/thymeleaf-extras-springsecurity#using-the-attributes

希望这可以帮助某人，尽管问题仍然悬而未决。

【讨论】：