Jhipster 4 中的角色

Question

我正在使用 jhipster 4，我有疑问，我尝试放置一个没有模式 ROLE_* 的新角色，但当我使用java 注释 @Secured。

public final class AuthoritiesConstants {   
  public static final String SUPERVISED = "SUPERVISED";
  ...

我在许多网站上查看了有关此问题的信息，但找不到任何建议。我需要设置一个名为 SUPERVISED 的角色，因为我的应用需要与其他应用集成。

@Secured({AuthoritiesConstants.SUPERVISED)
public class GreatResource {
...

当 webclient 使用角色 SUPERVISED 发出请求时，该操作被拒绝

为什么会这样？

Answer 1

当使用@Secured注解时，默认情况下如果提供的角色不以ROLE_开头，那么它将被添加。过滤器正在检查 ROLE_SUPERVISED 而不是 SUPERVISED，这就是它没有按预期工作的原因。

使用Expression-Based Access Control，您可以检查用户的权限，包括那些没有ROLE_ 前缀的权限。使用@PreAuthorize 注解结合hasAuthority 表达式：

@PreAuthorize("hasAuthority('SUPERVISED')")