Spring security 的权限配置使用问题
问题
拦截的资源设置其只要通过认证即可访问,但发现只有具有权限的用户才能登录访问,没有权限的用户即使通过了认证,但还是无法访问。
这里的权限是指对特定请求或特定界面设置的访问权限,认证指的是用户是否可以正常登录账户。
所以这里就是未具有权限的用户无法通过认证。
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<security:http pattern="/css/**" security="none"/>
<security:http pattern="/img/**" security="none"/>
<security:http pattern="/js/**" security="none"/>
<security:http pattern="/plugins/**" security="none"/>
<security:http pattern="/template/**" security="none"/>
<security:global-method-security pre-post-annotations="enabled"/>
<security:http auto-config="true" use-expressions="true">
<security:headers>
<security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers>
<!--这里对/pages下的资源的访问权限设置为必须通过认证(登录)才能访问-->
<security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
<security:form-login
login-page="/login.html"
username-parameter="uName"
password-parameter="uPwd"
login-processing-url="/login.do"
default-target-url="/pages/main.html"
authentication-failure-url="/login.html"
always-use-default-target="true"
></security:form-login>
<security:csrf disabled="true"/>
<security:logout logout-url="/logout.do" logout-success-url="/login.html" invalidate-session="true"/>
</security:http>
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
</bean>
<!--认证管理,可在当前配置文件中配置用户的权限,也可以在组件中进行配置,以下采用的是组件的方式进行用户权限管理-->
<security:authentication-manager>
<security:authentication-provider user-service-ref="springSecurityUserService">
<security:password-encoder ref="passwordEncoder"/>
</security:authentication-provider>
</security:authentication-manager>
</beans>
给登录用户配置权限的组件
@Component
public class SpringSecurityUserService implements UserDetailsService {
@Reference
private UserService userService;
@Override
public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
//userService通过name获取到用户信息后并获取用户所有权限
User user = userService.getUserByName(name);
if(user == null){
return null;
}
//将权限存入集合中,返回给UserDetails
List<String> authorities = userService.getAuthority(user.getId());
Iterator<String> iterator = authorities.iterator();
//存放权限的集合
List<SimpleGrantedAuthority> authority = new ArrayList<>();
//遍历当前用户的权限集合
while(iterator.hasNext()){
authority.add(new SimpleGrantedAuthority(iterator.next()));
}
return new org.springframework.security.core.userdetails.User(user.getUsername() , user.getPassword() , authority);
}
}
再次使用没有权限的用户登录,debug一步步调试,发现后面被捕获了一个异常,信息如下。
在网上查询该异常,出现这个异常的原因要么是在new SimpleGrantedAuthority的构造器中传入的空串,要么传入了空值。查看上面的代码发现由于在new SimpleGrantedAuthority(iterator.next()),这里传入了null值。
分析:这里之所以会有null值,是由于List集合允许存null值,数据库中没有查到数据时,就会给集合赋值一个null值,导致集合长度为1,可以进入到迭代器中,在迭代器中没有进行判空,由此产生了异常。查看前辈写的代码,由于这里是查询用户的权限,涉及到多表查询,如果将权限的List集合作为用户的属性,在MyBatis的resultMap中为List集合配置Collection标签,再查询,这时即使未查询到该用户的权限,List集合中也不会添加一个null值。
关于Spring Security的拦截器加载顺序的一些猜想,在配置文件中配置的拦截顺序会影响实际的资源请求,同时,配置文件中的拦截器先于注解@PreAuthorize加载。
--------------------------更新001------------------------------------------------
复盘:最近敲代码时,突然想到查list要不要判空,想到了之前这个情况,又去看了之前的代码,突然发现查询语句写的有问题,以下是产生All elements are null的查询sql。
<select id="getAuthority" resultType="String">
select p.keyword 'authority'
from t_user u
left join t_user_role ur
on u.id = ur.user_id
left join t_role r
on ur.role_id = r.id
left join t_role_permission rp
on r.id = rp.role_id
left join t_permission p
on rp.permission_id = p.id
where u.id = #{userId}
</select>
要查的是某个用户的权限,权限表和用户内连接才对,我竟然用了左联结,导致即使某个用户没有权限,左联结会导致用null填充p.keyword。
参考
https://blog.csdn.net/Java_Mr_Zheng/article/details/52528712
https://www.cnblogs.com/hdwang/p/7002086.html