SpringSecurity6.0.1中角色继承无效的问题

最新推荐文章于 2024-05-28 20:08:11 发布
最新推荐文章于 2024-05-28 20:08:11 发布
阅读量415 收藏
点赞数 1
分类专栏: SpringSecurity 文章标签: java servlet spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51030618/article/details/129381894
版权
文章讲述了在使用SpringSecurity框架时遇到角色继承不起作用的问题,详细分析了通常的做法,即自定义RoleHierarchyBean,以及在实际测试中发现的问题。作者通过调试发现,问题在于6.0.1版本未完全支持RoleHierarchyBean配置。为了解决这个问题,作者参考SpringSecurity的issue,提供了新的配置方式,通过DefaultMethodSecurityExpressionHandler来设置RoleHierarchy,最终实现了角色继承的正确工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、简述

  我在 SpringSecurity 中做了不少的实验,但总感觉对这个框架还是有点模糊,最近在复习 SpringSecurity,进行到角色继承时,发现角色继承并没有起作用,折腾了很久最后在 SpringSecurity 的 issue 中找到了解决方法,主要问题就是 6.0.1 的版本还没有很好地兼容 RoleHierarchy 这个 Bean。

二、通常做法

  通常我们做角色继承只需要自定义注入一个 RoleHierarchy 的 Bean 就可以了,就像这样:

@Bean
    static RoleHierarchy roleHierarchy() {
        RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_user");
        return hierarchy;
    }

三、试验

  准备三个接口,其中 getAll 不设置访问权限,getUser 只允许有 User 权限的用户访问,getAdmin 只允许有 Admin 权限的用户访问。

    @RequestMapping("/getAll")
    public String getAll(@RequestParam("msg") String msg) {
        return msg + " ALL";
    }

    @RequestMapping("/getUser")
    @PreAuthorize("hasRole('user')")
    public String getUser(@RequestParam("msg") String msg) {
        return msg + " USER";
    }


    @RequestMapping("/getAdmin")
    @PreAuthorize("hasRole('ADMIN')")
    public String getAdmin(@RequestParam("msg") String msg) {
        return msg + " ADMIN";
    }

然后向登录接口发送请求,在这里用户 1111 的角色是管理员,111 则是普通用户,这两个账号是在保存再数据库中的,登录成功后返回用户名

在这里插入图片描述

之后访问 getAll

在这里插入图片描述

访问成功,再访问 getAdmin

在这里插入图片描述
也能访问到,最后再访问 getUser 看看角色继承是否有效

在这里插入图片描述

这里报 403 禁止访问了,为了探究是哪出的问题,我们在类 SecurityExpressionRoothasRole 方法中打个断点,之后一直步入到方法 hasAnyAuthorityName,该方法的第一行是将方法 getAuthoritySet 的结果放到 roleSet 中,根据名字这个方法应该是获取当前用户的角色集合。

在这里插入图片描述

步过该方法,发现这集合里面只有 ROLE*ADMIN

在这里插入图片描述

方法 hasAnyAuthorityName 后面的部分则是把 haseRole 中的角色加上前缀 ROLE*,并判断这个角色是否在 roleSet 里,那这肯定是不包括的,最后返回 False,所以就访问不到这个接口了。
我们重新在发送一次请求到 getUser,步入方法 getAuthoritySet

在这里插入图片描述

其中关键的第三行可以看到就是判断当前对象的 roleHierachy 是否为空,不为空则将返回所有可访问权限的集合

在这里插入图片描述

之后将权限集合转换为 Set

在这里插入图片描述

但在这里 roleHierachy 是 null 啊,what?我们配置的角色继承哪去了?

后面去翻了翻 SpringSecurity 的文档,它给的示例是这样的

@Bean
AccessDecisionVoter hierarchyVoter() {
    RoleHierarchy hierarchy = new RoleHierarchyImpl();
    hierarchy.setHierarchy("ROLE_ADMIN > ROLE_STAFF\n" +
            "ROLE_STAFF > ROLE_USER\n" +
            "ROLE_USER > ROLE_GUEST");
    return new RoleHierarchyVoter(hierarchy);
}

按照这个方法写了之后依旧还是不行。。。
idea 也提示类 AccessDecisionVoterRoleHierarchyVoter 已经弃用了,进入这两个类都提示改用 AuthorizationManager

在 SpringSecurity 的一个 issue 中发现有关文档中给的示例无效的问题
后面的回复中有一个解决方法。

Thanks for the report, @istoony. RoleHierarchy bean configuration is not fully ported over as of 6.0.x. As such, I think what should be done here is add a note about that in the documentation and then update it once completed. I’ve also added #12783 detailing what needs to be done to support RoleHierarchy bean configuration.
In the meantime, to configure RoleHierarchy for pre-post method security, use DefaultMethodSecurityExpressionHandler:

@Bean
static RoleHierarchy roleHierarchy() {
    RoleHierarchy hierarchy = new RoleHierarchyImpl();
    hierarchy.setHierarchy("ROLE_ADMIN > ROLE_STAFF\n" +
            "ROLE_STAFF > ROLE_USER\n" +
            "ROLE_USER > ROLE_GUEST");
    return new RoleHierarchyVoter(hierarchy);
}

@Bean
static DefaultMethodSecurityExpressionHandler methodSecurityExpressionHandler(RoleHierarchy roleHierarchy) {
    DefaultMethodSecurityExpressionHandler expressionHandler = new DefaultMethodSecurityExpressionHandler();
    expressionHandler.setRoleHierarchy(roleHierarchy);
    return expressionHandler;
}

And to configure it for filter security, use the access(AuthorizationManager) method instead of hasRole, like so:

AuthorityAuthorizationManager<RequestAuthorizationContext> hasRoleUser =
    AuthorityAuthorizationManager.hasRole("USER");
hasRoleUser.setRoleHierarchy(roleHierarchy);

http
    .authorizeHttpRequests((authorize) -> authorize
        .requestMatchers("/needs/user/**").access(hasRoleUser)
        .anyRequest().authenticated()
    )
    // ...

按照这个示例将角色继承的配置修改为

@Bean
    static RoleHierarchy roleHierarchy() {
        RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
        hierarchy.setHierarchy("ROLE_ADMIN > ROLE_user");
        return hierarchy;
    }

    @Bean
    static DefaultMethodSecurityExpressionHandler methodSecurityExpressionHandler(RoleHierarchy roleHierarchy) {
        DefaultMethodSecurityExpressionHandler expressionHandler = new DefaultMethodSecurityExpressionHandler();
        expressionHandler.setRoleHierarchy(roleHierarchy);
        return expressionHandler;
    }

经过测试,角色为 ADMIN 的用户都可以访问到 hasRole("user")的接口,并且 user 角色也还是访问不了 hasRole("ADMIN")的接口,角色继承生效了!

通常做法无效的原因

在 6.1.0-SNAPSHOT 版本的文档中对应角色继承的位置有这么一个提示

在这里插入图片描述

RoleHierarchy 这个 Bean 还没有适配@EnableMethodSecurity 这个注解,需要等到这个 issues 修完。

SpringSecurity中的角色继承问题
2401_84003809的博客
04-18 276
很多程序员,整天沉浸在业务代码的 CRUD 中,业务中没有大量数据做并发,缺少实战经验,对并发仅仅停留在了解,做不到精通,所以总是与大厂擦肩而过。我把私藏的这套并发体系的笔记和思维脑图分享出来,理论知识与项目实战的结合,我觉得只要你肯花时间用心学完这些,一定可以快速掌握并发编程。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!定可以快速掌握并发编程。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取。
Spring Security 角色继承
jxchallenger的专栏
01-12 601
1、创建RoleHierarchy /** * 角色继承关系 * @return */ @Bean(name = "roleHierarchy") public RoleHierarchy getRoleHierarchyImpl() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); roleHi...
Spring Security使用了动态权限后,角色继承就不起作用了
qq_42331202的博客
03-15 772
当你配置了动态权限,你配置的角色继承就没用了,就是下面一段代码已经没用了 @Bean RoleHierarchy roleHierarchy() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); String hierarchy = "ROLE_DBA > ROLE_ADMIN\n ROLE_ADMIN > ROLE_USER"; roleHierarchy.
Spring Security 实现角色继承
neweastsun的专栏
05-17 2328
Spring Security 实现角色继承 本文描述如何基于Spring Security 实现角色继承。 权限声明 很多应用基于Spring Security 实现认证过程,通常需要定义一些角色,这些角色可能会有优先级或层次关系。假设我们有三个角色: ADMIN, MODERATOR ,USER. 下面代码进行权限声明: @Secured(['MODERATOR']) def dashBoar...
SpringSecurity--角色继承、动态权限
吴声子夜歌的博客
02-08 2727
角色继承 用户表user: 角色表role: 中间表user_role: 一般来说,角色之间是有关系的,例如ROLE_admin一般既具有admin的权限,又具有user的权限。 在Spring Security中只需要开发者提供一个RoleHierarchy即可。 假设ROLE_dba是终极大Boss,具有所有的权限,ROLE_admin具有ROLE_user的权限,ROLE_user则是...
记录 Role Hierarchy 在 spring security 6 无法生效的问题
chang_chan的博客
02-04 384
记录 Role Hierarchy 在 spring security 6 无法生效的问题
Spring Security 中的角色继承问题
CNchangan的博客
05-15 305
首先这个这个问题是因为springboot的版本问题导致角色继承问题的写法改变 在开发中要注意springboot的版本问题 版本问题SpringSecurity角色继承上有两种不同的写法,在 Spring Boot2.0.8(对应 Spring Security 也是 5.0.11)上面是一种写法,从 Spring Boot2.1.0(对应 Spring Security5.1.1)又是另外一种写法,下面分别展示两种写法。 以前的写法 这里说的以前写法,就是指 SpringBoot2.0
五:Spring Security 中的角色继承问题
爱是与世界平行
07-10 485
Spring Security 中的角色继承问题以前的写法现在的写法源码分析 SpringSecurity角色继承上有两种不同的写法,在 Spring Boot2.0.8(对应 Spring Security 也是 5.0.11)上面是一种写法,从 Spring Boot2.1.0(对应 Spring Security5.1.1)又是另外一种写法。 以前的写法 这里说的以前写法,就是指 SpringBoot2.0.8(含)之前的写法,在之前的写法中,角色继承只需要开发者提供一个 RoleHierarch
Spring Security @PreAuthorize 拦截无效
weixin_36667844的博客
03-06 6660
1. 在使用spring security的时候使用注解,@PreAuthorize("hasAnyRole('ROLE_Admin')") 放在对方法的访问权限进行控制失效,其中配置如: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Spring Security角色继承实现过程解析
08-18
主要介绍了Spring Security角色继承实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 6.0尝鲜
时雨吹雪的博客
01-19 4196
Spring Security 6.0
SpringSecurity项目如何实现角色包含关系(角色继承
console的博客
05-09 563
近期在阅读 Spring Security 官方文档时发现关于 `Hierarchical Roles`的介绍
Spring Security 6.1.0-RC1, 6.0.3, 5.8.3和5.7.8已发布
bingyu1024的博客
05-03 163
同样重要的是要记住,5.8版本的Spring Security是一个特殊的版本,旨在帮助你迁移到Spring Security 6.0,因此,如果你打算升级你的应用程序,使用该版本结合特殊的迁移指南会使迁移更加顺利。在此期间,你可以更新你现有的Spring Boot应用程序,以获得最新的Spring Security版本。CVE-2023-20862:空的SecurityContext在注销时未被正确保存。关于每个版本所包含的内容,请参考发布页面。编辑:王艳敏,审核员:清蒸githu。
SpringSecurity配置高级用户拥有低级用户权限(权限继承)
hehehehao1的博客
11-29 370
【代码】SpringSecurity配置高级用户拥有低级用户权限(权限继承) SpringSecurity配置权限层级,高级用户管理员用户拥(继承)低权限用户的所有权限, 权限继承
SpringSecurity6的配置使用
最新发布
qq_63728578的博客
05-28 2673
认证 1. 首先引入SpringSecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>3.2.5</version> </dependency> 引入依赖后所有的请求都会被Se
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity6.0自定义数据库登录认证详细注释与两个关键点
lfl_jeetoon的博客
01-29 6053
直接把安全认证的两个关键点找了出来,让大家明白自定登录我要从哪里入手。第一是重写SecurityFilterChain,第二是重写UserDetailsService。
Spring Security】安全框架学习(十二)
Jerry‘s word
09-06 1877
这个就是我们之前在filter中存入到holder当中的对象,即UsernamePasswordAuthenticationToken,可以知道这里userAuthorities拿到了我们的权限对象,最终就调用到了我们自己在LoginUser类中重写的方法里去。但是回到hasAnyAuthorityName 方法中,传进去的prefix前缀的值实际上是null,也就是说实际上并没有做一个拼接,没有前缀,最终的结果也就是原本的字符串。但是我们并不用关心它在内部的调用链路,只需要关注核心的实现代码就可以了。
Spring Security(8)
分享专业、有用、有趣的技术、产品、运营和管理知识。
12-02 187
如果能够配置一个「角色模板」,再通过这个模板来配置其他角色,岂不是更简单?SpringSecurity虽然没有角色模板,但可以通过「继承」的方式来「曲线就国」。
springsecurity6.0.1使用
06-09
Spring Security 6.0.1Spring Security 的一个版本,它是一种基于 Spring 框架的安全性解决方案,用于保护 Web 应用程序和服务。Spring Security 提供了许多功能,如身份验证、授权、攻击防范、会话管理等,可以帮助开发人员轻松地为他们的应用程序添加安全性。 如果你想在你的项目中使用 Spring Security 6.0.1,你需要在你的项目中添加 Spring Security 的依赖。你可以在你的 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>6.0.1</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>6.0.1</version> </dependency> ``` 这将会下载 Spring Security 6.0.1 的 JAR 文件并将其添加到你的项目中。接下来,你需要配置 Spring Security,以便它可以保护你的应用程序。你可以使用 Spring SecurityJava 配置或 XML 配置来完成这个任务。以下是一个简单的 Spring Security Java 配置示例: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } } ``` 这个配置文件将会配置 Spring Security,以便它将所有请求都需要身份验证。它还配置了一个基本的表单登录和 HTTP 基本身份验证。最后,它添加了一个用户到内存中,以便该用户可以登录并访问应用程序。 我希望这可以回答你的问题。如果你有其他问题,请随时问我。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值