spring-security关于hasRole的坑及解决

更新时间：2023年09月16日 10:28:42 作者：fhzmWJ

这篇文章主要介绍了spring-security关于hasRole的坑及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

spring-security关于hasRole的坑

.access(“hasRole(‘ROLE_USER’)”) 如果用

.hasRole(“ROLE_USER”) 会报错。。。

org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/web/configuration/WebSecurityConfiguration.class]: Bean instantiation via factory method failed; nested exception is org.springframework.beans.BeanInstantiationException: Failed to instantiate [javax.servlet.Filter]: Factory method ‘springSecurityFilterChain’ threw exception; nested exception is java.lang.IllegalArgumentException: role should not start with ‘ROLE_’ since it is automatically inserted. Got ‘ROLE_USER’

像下面代码这样是可以的，不要ROLE_USER，直接USER，不应该用ROLE_开头因为会自动加一个。

hasRole在进行权限判断时会被追加前缀ROLE_。

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
      .antMatchers("/design", "/orders")
      .hasRole("USER")
      .antMatchers("/", "/**").access("permitAll")
    .and()
      .formLogin()
        .loginPage("/login")
    .and()
      .logout()
        .logoutSuccessUrl("/")
    .and()
      .csrf()
        .ignoringAntMatchers("/h2-console/**")
    .and()  
      .headers()
        .frameOptions()
          .sameOrigin()
    ;
}

或者这样也是可以的：

import org.springframework.security.config.annotation.web
           .builders.HttpSecurity;
@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .authorizeRequests()
      .antMatchers("/design", "/orders")
        .access("hasRole('ROLE_USER')")
      .antMatchers("/", "/**").access("permitAll")
    .and()
      .formLogin()
        .loginPage("/login")
    .and()
      .logout()
        .logoutSuccessUrl("/")
    .and()
      .csrf()
        .ignoringAntMatchers("/h2-console/**")
    .and()  
      .headers()
        .frameOptions()
          .sameOrigin()
    ;
}

还是应该直接相信报错提示的，，，，，，走了太多弯路。

springboot整合spring-security注意事项，不要踩坑

1.Spring Boot与Maven

Spring Boot提供了一个spring-boot-starter-security启动程序，它将Spring Security相关的依赖项聚合在一起。

利用启动器的最简单和首选方法是使用IDE集成（Eclipse，IntelliJ，NetBeans）或通过https://start.spring.io使用Spring Initializr。

加入的依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.授权

我们的示例仅要求用户进行身份验证，并且已针对应用程序中的每个URL进行了身份验证。

我们可以通过向http.authorizeRequests()方法添加多个子项来指定网址的自定义要求。

例如：下面展示一些 内联代码片。

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()                                                                
            .antMatchers("/resources/**", "/signup", "/about").permitAll()                  
            .antMatchers("/admin/**").hasRole("ADMIN")                                      
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            
            .anyRequest().authenticated()                                                   
            .and()
        // ...
        .formLogin();
}

1.http.authorizeRequests()方法有多个子项，每个匹配器按其声明的顺序进行考虑。
2.我们指定了任何用户都可以访问的多种URL模式。具体来说，如果URL以“/ resources /”开头，等于“/ signup”或等于“/ about”，则任何用户都可以访问请求。
3.任何以“/ admin /”开头的URL都将仅限于具有“ROLE_ADMIN”角色的用户。您会注意到，由于我们正在调用hasRole方法，因此我们不需要指定“ROLE_”前缀。
4.任何以“/ db /”开头的URL都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。您会注意到，由于我们使用的是hasRole表达式，因此我们不需要指定“ROLE_”前缀。

3.认证

到目前为止，我们只看了最基本的身份验证配置。

我们来看一些稍微更高级的配置身份验证选项。

3.1内存中认证

我们已经看到了为单个用户配置内存中身份验证的示例。

以下是配置多个用户的示例：下面展示一些 内联代码片。

@Bean
public UserDetailsService userDetailsService() throws Exception {
// ensure the passwords are encoded properly
UserBuilder users = User.withDefaultPasswordEncoder();
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(users.username(“user”).password(“password”).roles(“USER”).build());
manager.createUser(users.username(“admin”).password(“password”).roles(“USER”,“ADMIN”).build());
return manager;
}

3.2 JDBC身份验证

您可以找到支持基于JDBC的身份验证的更新。以下示例假定您已在应用程序中定义了DataSource。

该JDBC-javaconfig样品提供了使用基于JDBC认证的一个完整的示例。

下面展示一些 `内联代码片`。

@Autowired
private DataSource dataSource;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    // ensure the passwords are encoded properly
    UserBuilder users = User.withDefaultPasswordEncoder();
    auth
        .jdbcAuthentication()
            .dataSource(dataSource)
            .withDefaultSchema()
            .withUser(users.username("user").password("password").roles("USER"))
            .withUser(users.username("admin").password("password").roles("USER","ADMIN"));
}

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Java实现链表的常见操作算法详解
这篇文章主要介绍了Java实现链表的常见操作算法详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-09-09
Mybatis中特殊SQL的执行
这篇文章主要介绍了Mybatis中特殊SQL的执行，介绍内容包括模糊查询、批量删除、动态设置表名、添加功能获取自增的主键等相关资料，需要的小伙伴可以参考一下
2022-04-04
Springboot整合Java DL4J实现交通标志识别系统全过程
在自动驾驶系统中,交通标志识别是实现车辆智能化的关键技术之一,本文介绍了利用SpringBoot和JavaDeeplearning4j构建交通标志识别系统的方法,文中通过代码介绍的非常详细,需要的朋友可以参考下
2024-10-10
Hadoop上Data Locality的详解
这篇文章主要介绍了 Hadoop上Data Locality的详解的相关资料,希望通过本文能帮助到大家，让大家理解掌握这部分内容，需要的朋友可以参考下
2017-10-10
MyBatis Mapper.XML 标签使用小结
在MyBatis中,通过resultMap可以解决字段名和属性名不一致的问题,对于复杂的查询,引用实体或使用<sql>标签可以定义复用的SQL片段,提高代码的可读性和编码效率,使用这些高级映射和动态SQL技巧,可以有效地处理复杂的数据库交互场景
2024-10-10
java 基础教程之多线程详解及简单实例
这篇文章主要介绍了java 基础教程之多线程详解及简单实例的相关资料,线程的基本属性、如何创建线程、线程的状态切换以及线程通信，需要的朋友可以参考下
2017-03-03
Spring Cloud 的 Hystrix.功能及实践详解
这篇文章主要介绍了Spring Cloud 的 Hystrix.功能及实践详解，Hystrix 具备服务降级、服务熔断、线程和信号隔离、请求缓存、请求合并以及服务监控等强大功能,需要的朋友可以参考下
2019-07-07
springboot项目打成jar包后无法获取static下的静态资源文件的问题分析
这篇文章主要介绍了springboot项目打成jar包后无法获取static下的静态资源文件的问题分析,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-08-08
一文搞懂Java JDBC中的SQL注入问题
在用户输入的数据中有SQL关键字或语法，并且关键字或语法参与了SQL语句的编译，导致SQL语句编译后的条件为true，一直得到正确的结果，这种现象就是SQL注入，这篇文章主要介绍了一文搞懂Java JDBC中的SQL注入问题,需要的朋友可以参考下
2022-10-10
java中的可变参数使用方法
这篇文章主要介绍了java中的可变参数使用方法的相关资料,需要的朋友可以参考下
2017-06-06