Question

У меня работает базовый пример безопасности, теперь мне нужно добавить @PreAuthorize на уровне API.в моем контроллере

@RequestMapping(value = "/user", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_USER')")
public Data userHome() {
    Data d = new Data();
    d.setName("user");
    d.setRollNo(5);
    d.setD(new Date());
    return d;
}

@RequestMapping(value = "/admin", method = RequestMethod.GET)
@PreAuthorize("hasRole('ROLE_ADMIN')")
public Data adminHome() {
    Data d = new Data();
    d.setName("admin");
    d.setRollNo(2);
    return d;
}

весенняя конфигурация безопасности, как показано ниже

    <beans:beans xmlns="http://www.springframework.org/schema/security"
        xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
            http://www.springframework.org/schema/security
            http://www.springframework.org/schema/security/spring-security.xsd">
        <global-method-security pre-post-annotations="enabled" />
        <http auto-config="true" use-expressions="true">
            <logout delete-cookies="JSESSIONID" />
            <remember-me />
            <intercept-url pattern="/*" access="isAuthenticated()" />
        </http>
        <debug />
        <authentication-manager>
            <authentication-provider>
                <user-service id="userService">
                    <user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />
                <user name="user" password="{noop}user" authorities="ROLE_USER" />
                </user-service>
            </authentication-provider>
        </authentication-manager>
        <beans:bean id="passwordEncoder"
   class="org.springframework.security.crypto.password.NoOpPasswordEncoder"
            factory-method="getInstance" />
        <beans:bean id="loggerListener" class="org.springframework.security.authentication.event.LoggerListener" />
    </beans:beans>

аутентификация работает нормально, проблема в том, что даже пользователь с ROLE_USER может получить доступ к / admin API, так чтопользователь с ROLE_ADMIN может получить доступ к / user API, я использовал <global-method-security pre-post-annotations="enabled"/>, но похоже, что он работает, что еще мне не хватает?

Masht Metti · Answer 1 · 19 марта 2019

Полномочия и Роль вызывает путаницу.

Вы должны использовать @PreAuthorize("hasRole('USER')") или @PreAuthorize("hasAuthority('ROLE_USER')").

hasAuthority(‘ROLE_USER’) аналогичноhasRole(‘USER’) потому что префикс 'ROLE_' добавляется автоматически.

Весенняя защита @PreAuthorize не работает

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Весенняя защита @PreAuthorize не работает

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов