spring-security关于hasRole的坑及解决

更新时间：2023年09月16日 10:28:42 作者：fhzmWJ

这篇文章主要介绍了spring-security关于hasRole的坑及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

spring-security关于hasRole的坑

.access(“hasRole(‘ROLE_USER’)”) 如果用

.hasRole(“ROLE_USER”) 会报错。。。

org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/web/configuration/WebSecurityConfiguration.class]: Bean instantiation via factory method failed; nested exception is org.springframework.beans.BeanInstantiationException: Failed to instantiate [javax.servlet.Filter]: Factory method ‘springSecurityFilterChain’ threw exception; nested exception is java.lang.IllegalArgumentException: role should not start with ‘ROLE_’ since it is automatically inserted. Got ‘ROLE_USER’

像下面代码这样是可以的，不要ROLE_USER，直接USER，不应该用ROLE_开头因为会自动加一个。

hasRole在进行权限判断时会被追加前缀ROLE_。

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
      .antMatchers("/design", "/orders")
      .hasRole("USER")
      .antMatchers("/", "/**").access("permitAll")
    .and()
      .formLogin()
        .loginPage("/login")
    .and()
      .logout()
        .logoutSuccessUrl("/")
    .and()
      .csrf()
        .ignoringAntMatchers("/h2-console/**")
    .and()  
      .headers()
        .frameOptions()
          .sameOrigin()
    ;
}

或者这样也是可以的：

import org.springframework.security.config.annotation.web
           .builders.HttpSecurity;
@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
      .antMatchers("/design", "/orders")
        .access("hasRole('ROLE_USER')")
      .antMatchers("/", "/**").access("permitAll")
    .and()
      .formLogin()
        .loginPage("/login")
    .and()
      .logout()
        .logoutSuccessUrl("/")
    .and()
      .csrf()
        .ignoringAntMatchers("/h2-console/**")
    .and()  
      .headers()
        .frameOptions()
          .sameOrigin()
    ;
}

还是应该直接相信报错提示的，，，，，，走了太多弯路。

springboot整合spring-security注意事项，不要踩坑

1.Spring Boot与Maven

Spring Boot提供了一个spring-boot-starter-security启动程序，它将Spring Security相关的依赖项聚合在一起。

利用启动器的最简单和首选方法是使用IDE集成（Eclipse，IntelliJ，NetBeans）或通过https://start.spring.io使用Spring Initializr。

加入的依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.授权

我们的示例仅要求用户进行身份验证，并且已针对应用程序中的每个URL进行了身份验证。

我们可以通过向http.authorizeRequests()方法添加多个子项来指定网址的自定义要求。

例如：下面展示一些 内联代码片。

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()                                                                
            .antMatchers("/resources/**", "/signup", "/about").permitAll()                  
            .antMatchers("/admin/**").hasRole("ADMIN")                                      
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            
            .anyRequest().authenticated()                                                   
            .and()
        // ...
        .formLogin();
}

1.http.authorizeRequests()方法有多个子项，每个匹配器按其声明的顺序进行考虑。
2.我们指定了任何用户都可以访问的多种URL模式。具体来说，如果URL以“/ resources /”开头，等于“/ signup”或等于“/ about”，则任何用户都可以访问请求。
3.任何以“/ admin /”开头的URL都将仅限于具有“ROLE_ADMIN”角色的用户。您会注意到，由于我们正在调用hasRole方法，因此我们不需要指定“ROLE_”前缀。
4.任何以“/ db /”开头的URL都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。您会注意到，由于我们使用的是hasRole表达式，因此我们不需要指定“ROLE_”前缀。

3.认证

到目前为止，我们只看了最基本的身份验证配置。

我们来看一些稍微更高级的配置身份验证选项。

3.1内存中认证

我们已经看到了为单个用户配置内存中身份验证的示例。

以下是配置多个用户的示例：下面展示一些 内联代码片。

@Bean
public UserDetailsService userDetailsService() throws Exception {
// ensure the passwords are encoded properly
UserBuilder users = User.withDefaultPasswordEncoder();
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(users.username(“user”).password(“password”).roles(“USER”).build());
manager.createUser(users.username(“admin”).password(“password”).roles(“USER”,“ADMIN”).build());
return manager;
}

3.2 JDBC身份验证

您可以找到支持基于JDBC的身份验证的更新。以下示例假定您已在应用程序中定义了DataSource。

该JDBC-javaconfig样品提供了使用基于JDBC认证的一个完整的示例。

下面展示一些 `内联代码片`。

@Autowired
private DataSource dataSource;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    // ensure the passwords are encoded properly
    UserBuilder users = User.withDefaultPasswordEncoder();
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .withDefaultSchema()
            .withUser(users.username("user").password("password").roles("USER"))
            .withUser(users.username("admin").password("password").roles("USER","ADMIN"));
}

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Java聊天室之实现接收和发送Socket
这篇文章主要为大家详细介绍了Java简易聊天室之实现接收和发送Socket功能，文中的示例代码讲解详细，具有一定的借鉴价值，需要的可以了解一下
2022-10-10
Java五种方法批量处理List元素的实现示例
本文主要介绍了Java五种方法批量处理List元素的实现示例,包括传统循环、函数式编程、Stream流、迭代器及第三方库,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧
2025-05-05
Java采用循环链表结构求解约瑟夫问题
这篇文章主要介绍了Java采用循环链表结构求解约瑟夫问题的解决方法,是很多Java面试环节都会遇到的经典考题,这里详细给出了约瑟夫问题的原理及Java解决方法,是非常经典的应用实例,具有一定的参考借鉴价值,需要的朋友可以参考下
2014-12-12
Can''t use Subversion command line client:svn 报错处理
这篇文章主要介绍了Can't use Subversion command line client:svn 报错处理的相关资料,需要的朋友可以参考下
2016-09-09
浅谈java多态的实现主要体现在哪些方面
下面小编就为大家带来一篇浅谈java多态的实现主要体现在哪些方面。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-09-09
Java中的RestTemplate使用详解
这篇文章主要介绍了Java中的RestTemplate使用详解,Spring内置了RestTemplate作为Http请求的工具类,简化了很多操作,虽然Spring5推出了WebClient,但是整体感觉还是RestTemplate用起来更简单方便一些,需要的朋友可以参考下
2023-10-10
java递归设置层级菜单的实现
本文主要介绍了java递归设置层级菜单的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2022-08-08
如何解决SpringBoot 加入AOP后无法注入的问题
这篇文章主要介绍了如何解决SpringBoot 加入AOP后无法注入的问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-06-06
java实现导出Excel的功能
这篇文章主要为大家详细介绍了java实现导出Excel的功能，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2019-05-05
浅谈Springboot2.0防止XSS攻击的几种方式
本文主要介绍了Springboot2.0防止XSS攻击的几种方式，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2022-08-08