Spring Security基于数据库认证遇到的一个小问题

最新推荐文章于 2024-04-18 12:58:10 发布
最新推荐文章于 2024-04-18 12:58:10 发布
阅读量231 收藏
点赞数
分类专栏: springboot 文章标签: spring Security  基于数据库认证 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38526245/article/details/103276767
版权

问题描述:一个页面设有权限,只能是admin访问,数据库中有一条记录,包含username,password,role角色,当时将数据库的role角色置为admin…在输入账号和密码后登录验证是一直说没有权限,禁止访问?

重点(必看):在配置configure中的hasRole(“admin”)设置权限时,在程序执行的过程中会变成hasRole(“ROLE_admin”),也就是说数据库中的获取的角色admin与ROLE_admin比较,肯定不会验证通过,所以会导致一直没有权限

答案:在项目中使用Ctrl+N找到DefaultFilterInvocationSecurityMetadataSource类,其中有一个getAttributes方法,里面有一个requestMap,在这打一个断点,再用debug调试,在查看当时设置的权限hasRole(“admin”)会自动变成hasRole(“ROLE_admin”)

结果
源码:
点进hasRole方法查看源码

再点进去:

这就是为什么admin前面会都一个ROLE_前缀的原因

这里只涉及到spring security一小部分问题,其中程序代码没有粘贴出来,我们应该能搭建自己的测试模板,这里只是描述了遇到的一个难以解决问题,比如还有常见的bad credentials问题(加密问题)

不脱发的猴子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2752
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
Spring Boot + Spring Security通过数据库验证用户身份信息
记录学习的一些知识,也希望这些记录总结能帮到需要的人!
12-24 4771
Spring Security 1.mysql数据库中的准备 1.1 建立数据库 db_authority 1.2 建立表 tb_user 表中字段为:id name password role CREATE TABLE `tb_user` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `name` varchar(255) DEFAULT NULL COMMENT '用户名', `password` varchar(255) DEFAULT NUL
SpringBoot整合SpringSecurity角色名称不匹配
Logan的博客
04-13 230
异常报错 Whitelabel Error Page This application has no explicit mapping for /error, so you are seeing this as a fallback. Mon Apr 13 10:14:58 CST 2020 There was an unexpected error (type=Forbidden, statu...
springSecurity自定义处理器基本配置
lc257的博客
11-19 395
springSecurity自定义处理器基本配置
关于Spring Boot下Spring Security权限访问设置@PreAuthorize(“hasRole(‘ROLE_ADMIN‘)“)没有用
xiaokanfuchen86的博客
10-10 2961
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用: @PreAuthorize("hasRole('ROLE_ADMIN')") 注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果 ==||| 好了,上网查了一番:Spring Security @PreAuthorize 拦.
Spring Security 无法登陆,报错:There is no PasswordEncoder mapped for the id “null”
热门推荐
Canon_in_D_Major的博客
03-24 5万+
编写好继承了WebSecurityConfigurerAdapter类的WebSecurityConfig类后,我们需要在configure(AuthenticationManagerBuilder auth) 方法中定义认证用于信息获取来源以及密码校验规则等。(configure函数名字不重要,官方用的好像是configureGlobal(……),重要的是在这个被@EnableWebSecuri...
Spring Security BadCredentialsException: Bad credentials问题解决
旭东怪的博客
03-30 1万+
问题描述: org.springframework.security.authentication.BadCredentialsException: Bad credentials 问题分析: 1、数据库里面的密码没有加密,导致输入正确密码也匹配不上。 解决办法:使用PasswordEncoder先将当前密码加密,再存入数据库。 public static void main(String[] args) { BCryptPasswordEncoder bCryptPas
SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器_springboot oauth 客户端模式使用数据库
最新发布
2401_84263208的博客
04-18 317
/允许客户端使用表单方式发送请求token的认证(因为表单一般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便一请求过来验token是不验的)//默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()//如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同一个工程中。//“oauth/check_token"是校验token的地址。alibaba 数据连接池。
Spring Security学习之密码加密
qq_38586378的博客
09-10 587
前言 密码安全的重要性: 防止被黑客“拖库” 拖库:数据库术语,从数据库中导出数据。现特指网站遭到入侵后,黑客窃取数据库文件 如果发生拖库:大量用户信息被暴露,面临数据安全和数据隐私双重威胁,尤其如果数据库密码是明文存储 预防错误:数据库加密 如果拖库已经发生,那么密码如果有加密的话可以最大限度的防止被破解从而减少安全损失 提高密码破解难度,让黑客主动放弃高成本破解 另外通知用户登录,跳转手机号/邮箱验证,验证通过话
TBDS MPP参数列表
冀辉的博客
08-11 935
TBDS MPP参数列表
Spring Security中html页面设置hasRole无效的问题
Maskkiss的博客
09-12 6914
一、前言     帮同事解决问题的时候,偶然发现的hasRole和hasAnyAuthority的区别。当然,可能有更深入的我没看到。现在把我实际的调试结果分享给大家 二、失效原因及解决     下面是部分示例html页面代码 <div sec:authorize="hasRole('R_ADMIN')"> <p class="b...
springboot 集成 spring secutity 使用role角色时的小坑
myth_g的博客
08-27 2751
当使用角色的权限过滤时,碰到了一点小问题. @Component public class MyUserDetailService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String name) throws UsernameNotFoundExceptio...
阿里云API网关(9)常见问题
weixin_33725272的博客
07-21 2万+
网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https://apigateway.console.aliyun.com/?spm=5176.doc42740.2.2.Q4z5ws#/cn-hangzhou/apis/list 一、如何获取错误信息 所有...
12C ORA-错误汇总14 ORA-29250 to ORA-32799
badman250的专栏
03-02 3万+
ORA-29250: Invalid index specifed in call to dbms_sql.bind_array Cause: An invalid index was specified in a call to bind_array of dbms_sql. The index may have been null or of an improper value. Act
运行时权限解析以及申请的实现(可完美解决java.lang.SecurityException:Permission Denial 问题
IceSea7
05-07 2万+
1.运行时权限 Android现在将所有的权限归成了两类: Android中有一共上百种权限,危险权限主要为以下9组24个权限,剩余的都是普通权限: 使用这张表格: 访问https://developer.android.google.cn/reference/android/Manifest.permission可以查看Android系统中完整的权限列表。 1.1 ...
spring boot security 自定义登陆验证(jdbc)
过期腊肉
03-11 7238
首先加入依赖:<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>然后在spring boot 的main 的启动类中加入@...
Spring Security基于数据库认证用户登录
Leslie-心蓝
01-03 2300
Spring Security为我们提供了默认的登录页面,通过重写以AuthenticationManagerBuilder为参数的configure方法,我们可基于各种数据存储来认证用户,比如内存、关系型数据库以及LDAP,也可以编写自定义的用户存储实现。 问题 在使用基于数据库表进行认证时,我重写的configure如下 @Autowired DataSource datasourc...
Spring Security深度解析与实战
"Spring Security是Java开发中的一个强大安全框架,主要用于保护Web应用程序。由Robin.Zhang(张明星)在2009年的IBM华南WebSphere技术专家沙龙中进行讲解,该主题深入探讨了Spring Security如何为Web应用提供安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值