Spring Security @PreAuthorize 拦截无效

最新推荐文章于 2024-07-05 17:43:20 发布
最新推荐文章于 2024-07-05 17:43:20 发布
阅读量503 收藏 1
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/ifindu-san/p/9882124.html
版权

1. 在使用spring security的时候使用注解,@PreAuthorize("hasAnyRole('ROLE_Admin')")

放在对方法的访问权限进行控制失效,其中配置如:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    UserDetailsService userDetailsService;
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/res/**", "/login/login*").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")
                .passwordParameter("password")
                .usernameParameter("username")
            .and().logout().logoutSuccessUrl("/login/login");
    }
}

Controller中的方法如下:

@Controller
@RequestMapping("/demo")
public class DemoController extends CommonController{
    @Autowired
    private UserService userService;
 
    @PreAuthorize("hasAnyRole('ROLE_Admin')")
    @RequestMapping(value = "user-list")
    public void userList() {
         
    }
}

使用一个没有ROLE_Admin权限的用户去访问此方法发现无效。

修改一下 SecurityConfig:

  @Override
   protected void configure(HttpSecurity http) throws Exception {
       http.csrf().disable()
           .authorizeRequests()
           .antMatchers("/res/**", "/login/login*").permitAll()
           .antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")
           .anyRequest().authenticated()
           .and().formLogin().loginPage("/login/login").defaultSuccessUrl("/")
               .passwordParameter("password")
               .usernameParameter("username")
           .and().logout().logoutSuccessUrl("/login/login");
   }

添加上:  

.antMatchers("/demo/user-list").access("hasRole('ROLE_Admin')")

可以被正常拦截,说明是方法拦截没有生效。

如果是基于xml,则需要在配置文件中加上:

<security:global-method-security pre-post-annotations="enabled" proxy-target-class="true" />

换成Annotation方式以后,则需要使用 @EnableGlobalMethodSecurity(prePostEnabled=true) 注解来开启。

并且需要提供以下方法:

@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
  return super.authenticationManagerBean();
}

才可正常拦截。

转载于:https://www.cnblogs.com/ifindu-san/p/9882124.html

weixin_30778805
关注
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3832
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3269
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
@PreAuthorize 不起作用
laozengsky的博客
04-09 814
第三步:解决An Authentication object was not found in the SecurityContext 异常和捕捉AccessDeniedException全局异常。使用springsecurity进行权限管理的时候发现该注解并不起作用。第二步:让PreAuthorize注解生效。第一步:自定义权限实现,
SpringSecurity中@PreAuthorize(“hasRole(‘ROLE_USER‘)“) 不起作用的原因
最新发布
weixin_44263023的博客
07-05 914
PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息,但也可能由其他几个因素导致。
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3282
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
Spring Security中的@PreAuthorize注解拦截失效
an715396887的博客
08-09 1028
Spring Boot下Spring Security权限认证时,使用@PreAuthorize注解发现并没有拦截成功。Spring Security配置类( 也就是继承了。注解,以启用全局方法级安全性。
Spring MVC Security-添加自定义登录表单,显示无效凭据、基于角色的访问、自定义访问被拒绝的错误消息.zip
01-09
这个压缩包包含的项目"SpringMVCSecurity-master"很可能是用来演示如何配置和使用Spring Security来实现自定义登录表单、处理无效凭证、基于角色的访问控制以及自定义访问拒绝错误消息的示例代码。 在Spring ...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2143
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security介绍
热门推荐
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件
maven中SSM项目使用security框架时,拦截权限没有生效
j895231的博客
09-23 750
在ssm项目使用security权限拦截时,如果权限没有生效,有可能是在springmvc配置文件中,没有开启aop的cglib &lt;!-- 支持AOP的注解支持,AOP底层使用代理技术 JDK动态代理,要求必须有接口 cglib代理,生成子类对象,proxy-target-class="true" 默认使用cglib的方式 --&gt;...
SpringSecurity使用@PreAuthorize进行角色校验无效
wsb_2526的博客
07-31 1711
错误 SpringSecurity使用@PreAuthorize进行角色校验无效 解决方法 在类上加上注解@EnableGlobalMethodSecurity(prePostEnabled = true)。
@PreAuthorize注解不起作用?
zcents的博客
09-03 2879
1.将prePostEnabled设置为true:@EnableGlobalMethodSecurity(prePostEnabled=true) 2.如果还是不起作用查看是否缺少aop依赖(小编当时不起作用就是缺少这个依赖): spingboot中 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>.
spring security中PreAuthorize注解中配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8316
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
springboot 拦截请求,统一化处理post get
笔生花的博客
05-07 2947
适用场景:为了方便后台做统一化处理,方便前后端交互,在拦截器中将post get 统一处理,在control就不需要区分该请求是post 还是get请求,很方便。 @Component public class RequestParamInterceptor implements HandlerInterceptor { private static Logger log ...
@PreAuthorize出现404&&because it is a JDK dynamic proxy that implements:
weixin_42642782的博客
02-01 289
@PreAuthorize出现404&&because it is a JDK dynamic proxy that implements: because it is a JDK dynamic proxy that implements: 一个已经被jdk动态代理后的类(如果他实现了一个接口),在进行依赖注入的时候会出现的问题。会导致这个类没法被其他类进行注入使用。 @PreAuthorize出现404 出现这个问题可能是因为你的controller实现了一个接口,比如接口上有@Feig
Spring Boot下Spring Security权限认证@PreAuthorize注解失效
江枫暮雪的博客
07-29 5564
Spring Boot下Spring Security权限认证@PreAuthorize注解失效 根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。 第一种情况。 就是网上大量出现的。没有添加**@EnableGlobalMethodSecurity**注解。 ...
Spring Security @PreAuthorize 无效
YHC
09-23 4439
Spring version:Spring Security 3.1@PreAuthorize("hasRole('ROLE_ADMIN')")注解在接口方法上无效,非ROLE_ADMIN角色也可以调用此方法最后终于查找出原因了,不能在业务层使用注解实例化类,要是用xml配置例如:public interface IUserService { /*** * 修改给定用户密码,要求调用者是
springsecurity @PreAuthorize
09-24
@PreAuthorize注解是Spring Security框架提供的一种权限控制注解。它可以用于方法级别的权限控制,即在方法执行前对用户角色进行验证。通过在方法上使用@PreAuthorize注解,可以根据需要对用户的角色、权限进行限制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值