Безопасность загрузки Spring - невозможно добавить роль и полномочия вместе для inMemoryAuthentication - PullRequest
Новая
       28

Безопасность загрузки Spring - невозможно добавить роль и полномочия вместе для inMemoryAuthentication

0 голосов
/ 05 августа 2020

Это мой класс конфигурации, в котором регистрируются пользователи и сопоставители URL. 

package com.example.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin")
                .password(passwordEncoder().encode("admin"))
                .authorities("API_TEST1","API_TEST2")
                .roles("ADMIN")
            .and().withUser("test")
                .password(passwordEncoder().encode("test1234"))
                .authorities("API_TEST1")
                .roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/api/test1").hasAuthority("API_TEST1")
            .antMatchers("/api/test2").hasAuthority("API_TEST2")
            .and().httpBasic();
    }

    @Bean
    public PasswordEncoder passwordEncoder()
    {
        return new BCryptPasswordEncoder();
    }
}

По какой-то причине роли и полномочия не работают вместе, они работают, когда я отключаю один из них: 

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin")
                .password(passwordEncoder().encode("admin"))
                .authorities("API_TEST1","API_TEST2")
                .roles("ADMIN")
            .and().withUser("test")
                .password(passwordEncoder().encode("test1234"))
                .authorities("API_TEST1")
                .roles("USER");
    }

Когда я вхожу в систему с помощью admin, admin, я могу войти в раздел / admin, но ввод api (api / test1 или api / test2) дает мне ошибку 403, в то время как я должен иметь возможность ввести оба .

Вот мой полный проект: https://github.com/douma/spring-security-exp

...