spring security拦截url角色

【问题标题】:spring security intercept url rolesspring security拦截url角色
【发布时间】:2012-08-15 15:10:13
【问题描述】:

在 spring security intercept-url 配置中,如果我为特定路径定义了特定角色,比如 ROLE_USER,那么只有当用户具有该权限时,该路径才应该是可访问的。这是有道理的,但是如果我将角色设置为 ROLE_ANONYMOUS,<intercept-url pattern="/resources/**" access="ROLE_ANONYMOUS"/> 即使用户经过身份验证,它也不应该可以访问,比如当用户拥有 ROLE_USER 权限时?但这不会发生。

这是日志

Checking match of request : '/resources/js/test.js'; against '/resources/**'
Secure object: FilterInvocation: URL: /resources/js/test.js; Attributes: [ROLE_ANONYMOUS]
Previously Authenticated:   org.springframework.security.authentication.UsernamePasswordAuthenticationToken***********************************************
Voter: org.springframework.security.access.vote.RoleVoter@1712310, returned: -1

然后我得到一个拒绝访问异常。我知道如果我在我的 Http 配置中添加 <intercept-url pattern="/resources/**" access="ROLE_ANONYMOUS,ROLE_USER"/> 它工作正常。但是在上面的情况下,它是这样的还是我做错了什么。

【问题讨论】:

    标签: spring spring-mvc spring-security


    【解决方案1】:

    这是正确的写法:

    <intercept-url pattern="/resources/**" access="ROLE_ANONYMOUS,ROLE_USER"/>

    您可以查看official reference manual chapter about annonymous authentication,您将在其中看到以下配置:

    <bean id="filterSecurityInterceptor"
    class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
  <property name="authenticationManager" ref="authenticationManager"/>
  <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
  <property name="securityMetadata">
    <security:filter-security-metadata-source>
      <security:intercept-url pattern='/index.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
      <security:intercept-url pattern='/hello.htm' access='ROLE_ANONYMOUS,ROLE_USER'/>
      <security:intercept-url pattern='/logoff.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
      <security:intercept-url pattern='/login.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
      <security:intercept-url pattern='/**' access='ROLE_USER'/>
    </security:filter-security-metadata-source>" +
  </property>
</bean>

    您对 ROLE_ANONYMOUS 和 ROLE_USER 的理解有点错误,请在this answer by Luke Taylor, one of Spring Security's devs 中了解更多信息。

    【讨论】:

      【解决方案2】:

      如果我没记错的话:不,在您的情况下,经过身份验证的用户不应访问仅受 access="ROLE_ANONYMOUS" 保护的资源。您必须明确告诉 spring 允许具有“ROLE_USER”的用户访问它。 根据您使用的版本,也许您应该考虑使用expression-based access control。这样,您只需使用 : access="permitAll()" 恕我直言更简单,就可以让每个人都可以访问资源。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2013-06-04
        • 1970-01-01
        • 1970-01-01
        • 2013-10-27
        • 1970-01-01
        • 2017-06-15
        • 1970-01-01
        • 2013-06-17
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode