2. 程式人生 > >Spring Security @PreAuthorize 攔截無效

Spring Security @PreAuthorize 攔截無效

阿新 發佈:2018-10-31

1. 在使用spring security的時候使用註解,@PreAuthorize("hasAnyRole('ROLE_Admin')")

放在對方法的訪問許可權進行控制失效,其中配置如:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    UserDetailsService userDetailsService;
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws
 
 Exception {
        return super.authenticationManagerBean();
    }
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers(
 
"/res/**", "/login/login*").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")
                .passwordParameter("password")
                .usernameParameter("username")
            .and().logout().logoutSuccessUrl("/login/login");
    }
}

Controller中的方法如下:

@Controller
@RequestMapping("/demo")
public class DemoController extends CommonController{
    @Autowired
    private UserService userService;
 
    @PreAuthorize("hasAnyRole('ROLE_Admin')")
    @RequestMapping(value = "user-list")
    public void userList() {
         
    }
}

使用一個沒有ROLE_Admin許可權的使用者去訪問此方法發現無效。

修改一下 SecurityConfig:

  @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.csrf().disable()
           .authorizeRequests()
           .antMatchers("/res/**", "/login/login*").permitAll()
           .antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")
           .anyRequest().authenticated()
           .and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")
               .passwordParameter("password")
               .usernameParameter("username")
           .and().logout().logoutSuccessUrl("/login/login");
   }

新增上:  

.antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")

可以被正常攔截,說明是方法攔截沒有生效。

如果是基於xml,則需要在配置檔案中加上:

<security:global-method-security pre-post-annotations="enabled" proxy-target-class="true" />

換成Annotation方式以後,則需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 註解來開啟。

並且需要提供以下方法:

@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
  return super.authenticationManagerBean();
}

才可正常攔截。

相關推薦

Spring Security @PreAuthorize 攔截無效

1. 在使用spring security的時候使用註解,@PreAuthorize("hasAnyRole('ROLE_Admin')") 放在對方法的訪問許可權進行控制失效,其中配置如: @Configuration @EnableWebSecurity public class Securit

Spring Security常用攔截

iges 共享 persist tegra use nproc 請求 dap ember 安全攔截器 認證管理器 訪問決策管理 運行身份管理器 認證方式: Basic Digest X.509 LDAP Form 常用權限攔截器 SecurityContex

Spring Security的核心攔截

線程 包裝 pri security cred 應該 用戶登陸 ber 不存在 1. HttpSessionContextIntegrationFilter 位於過濾器頂端,第一個起作用的過濾器。 用途一,在執行其他過濾器之前,率先判斷用戶的session中是否已經存在一個

spring security 單一賬戶多地方登陸提醒, ajax 攔截器 Interceptor

lean odi true window post 錯誤 img commons 會話管理 spring-security.xml部分代碼: <http auto-config="false" > <access-denied-h

Spring Boot 2.x中的management.security.enabled=false無效問題

一、在1.5.x版本中通過management.security.enabled=false來暴露所有端點   具體配置類:org.springframework.boot.actuate.autoconfigure.ManagementServerProperties

Spring Security使用 @PreAuthorize,@PostAuthorize,@Secured和Spring EL表示式的方法級安全。

這篇教程文章中我們來學習 Spring Security使用 @PreAuthorize,@PostAuthorize,@Secured和Spring EL表示式的方法級安全。 為了使使用Spring的方法級別安全,我們需要用註釋一個 @EnableGlobalMetho

Spring Security技術棧開發企業級認證與授權(五)使用Filter、Interceptor和AOP攔截REST服務

一般情況,在訪問RESTful風格的API之前,可以對訪問行為進行攔截,並做一些邏輯處理,本文主要介紹三種攔截方式,分別是:過濾器Filter、攔截器Interceptor以及面向切面的攔截方式AOP。 一、使用過濾器Filter進行攔截 使用過

spring Security 重複登入配置無效的問題

關於spring Security重複登入的配置,百度一大堆,我這裡就不囉嗦了。 今天碰到 按照網上的配置,但是 感覺配置無效,同一使用者還是可以登入,不知道為什麼,開始以為是自己配置的又問題。再三確認感覺自己的配置沒有一點問題, 所有查詢原因:檢視原始碼 發現 o

Spring Boot ,Spring Security的Filter在Tomcat正常,部署在Weblogic 12c Filter順序出錯,導致攔截許可權問題

於是將 @EnableWebSecurity(debug=true) debug開啟,發現列印的Log 的 Security filter chain:  [] 確實沒有MyFilterSecurityInterceptor,可是為啥還是進入到此MyFilterSecurityInterceptor,當時也沒

Spring Security中html頁面設置hasRole無效的問題

權限 不支持 new min 發現 測試 -a sdn .get Spring Security中html頁面設置hasRole無效的問題 一、前言 學了幾天的spring Security,偶然發現的hasRole和hasAnyAuth

Spring Security應用開發(04)HTTP basic認證

角色 cati onf poi font con prop ins mode Spring Security默認是使用form-login表單認證方式。 <!-- 默認使用表單認證 --> <sec:form-login /> Spring

使用Spring Security和OAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

Spring Security應用開發(11) 並發控制之實踐

nag line then 9.png page 總結 -c ole for 本文分別介紹了四種不同情況下,Spring Security的Session管理和並發控制的不同配置的配置方法,以及所產生的效果。 (1)首先編寫了session_error.jsp頁面,用於

Spring Security應用開發(10) 並發控制之基本介紹

authorize 失效 session report 表示 container 頁面 屬性 ren 同一個用戶使用不同的瀏覽器登錄,將會導致什麽結果呢?Spring Security提供了多種選項。 <!-- session管理 --> <

Spring-Security】【1】認證和授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和

Spring-Security】【2】DelegatingFilterProxy

pat security clas 添加 chain let XML org mapping Spring Security 對我們應用的影響是通過一系列的 ServletRequest 過濾器實現的。 Spring Security 使用了 o.s.web.filter

Spring Security框架下Restful Token的驗證方案

false rri blob 返回 sch date html 官方 form 項目使用Restful的規範,權限內容的訪問,考慮使用Token驗證的權限解決方案。 驗證方案(簡要概括): 首先,用戶需要登陸,成功登陸後返回一個Token串; 然後用戶訪問有權限的內容時需要

Spring Security應用開發(15)層次化角色體系

投票 rar 函數參數 prop lin span efault nag pass 1.1. 層次化角色體系 使用Spring Security的層次化角色體系,可以簡化復雜角色的配置。配置過程如下: (1)首先需要在http結點中指定訪問決策管理器。 <!-- 角

Spring Security-- 驗證碼功能的實現

turn stringbu overflow .net 內容 一個 子類 異常 too spring security4 添加驗證碼 http://www.itwendao.com/article/detail/165400.html http://www.itdada

Spring Security應用開發(19)基於方法的授權(三)AOP

ntc blog view lob byname 控制器 頁面 poi bject 本文介紹使用AOP的配置方式來實現基於方法的授權。 (1)首先使用Spring Security提供的protect-pointcut進行配置。 protect-pointcut結點配置