角色没有ADMIN权限,为什么还能登录成功

最新推荐文章于 2022-09-24 17:08:50 发布
最新推荐文章于 2022-09-24 17:08:50 发布
阅读量244 收藏
点赞数 1
分类专栏: Springboot篇 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44231805/article/details/115718225
版权

接上一篇文章 Springboot+SpringSecurity不用模板引擎的登录功能,记录一些坑。

由于学艺不精,上一篇没有把问题描述出来,就是一个简单的小问题,我却改了一上午,才发现问题。

好了,看代码吧!

大家还记得这个代码吧,SpringSecurity自定义登录逻辑,坑就在这

@Slf4j
@Service
public class AuthorityServiceImpl implements AuthorityService {
 
// 注入dao层接口
    @Resource
    private AuthorityDao authorityDao;
 
// 重写UserDetailsService中的方法
    @Override
    public UserDetails loadUserByUsername(String username) {
        QueryWrapper<Authority>  qw = new QueryWrapper<>();
        qw.eq("username",username);
        Authority authority = authorityDao.selectOne(qw);
        if (null == authority) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        // 把用户名存入session,这里这个获取session的工具类,我也给大家放到下边
     // 存入session是方便获取到登录的用户名       
GetSessionUtils.getSession().setAttribute("loginUsername",authority.getUsername());
// 这个User是SpringSecurity提供的,而不是自己写的,只需要传入账号密码,和权限,SpringSecurity会自己判断账号密码,密码应该是加密过后的密码,而不是明文,如何得到密文,在文章末尾我会给出
        return new User(authority.getUsername(),authority.getPassword(),getAuthority());
    }
// 指定一个权限,拥有该权限的才能登录
// 数据库里边存的是 ADMIN,并不是 ROLE_ADMIN
    private List<GrantedAuthority> getAuthority() {
        return AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN");
    }
}

在多次测试后,我才发现了一个问题,如果这么写 getAuthority() 方法的话,就是写死的权限,即无论数据库的权限是啥,你登录的角色都会有 ROLE_ADMIN 权限,这也是很多教学视频上的写法(可能是我看的不太仔细,没有注意到这个点)。

然后我仔细想了一下,如果这么写,那么跟配置类的权限比对永远为 true,当然也肯是我太笨了。。。。嗯。。。继续继续,查数据库的权限,应该把这个方法稍加修改;

可以传入一个可变参数,然后通过遍历添加,这样是动态的,才能跟配置类对比。

或者直接这么写:

return new User(authority.getUsername(),authority.getPassword(),
    AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_" + authority.getAuthority()));

解释一下这个位置的 ROLE_ 这个并不是一定要加的,只是在配置类权限对比的时候,使用 hasAnyRole 和 hasAnyAuthorites 的不同,如果加 ROLE_ ,则配置类就用 hasAnyRole,否则就用第二个;

 

 

一条不会写作的码农
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
基于vue+redis+springboot+jwt+远程调用 用户登录注册权限校验的前后端源码
09-19
表示登录成功,再给前端响应数据(之前返回的是登录用户,现在使用的是token,它是给返回的对象进行加密), 前端拿到后端响应的数据token, ,再次给后端发送请求,查询该用户的角色, 前端拿取到用户的角色之后,根据角色的...
Security5实现鉴权访问【即有权限才能访问指定资源】前后端分离
小柚的博客
08-24 398
全文中的/admin/all 权限皆是个人配置的,也可修改成其他的,该项是经过配置类进行配置,在springsecurity实现登录一文中进行了配置,看不懂的先考古,如果在配置类中遍历的表和本文不一样,即如果表里的字段值为1,那么代表1是你的权限,如果其他用户的该表字段值不为1则不得访问该资源。
SpringBoot整合SpringSecurity系列(8)-角色权限控制
TianXinCoord的博客
04-22 2806
文章目录一、角色权限判断二、内置权限判断2.1 hasAuthority(String)2.2 hasAnyAuthority(String ...)2.3 hasRole(String)2.4 hasAnyRole(String ...)2.5 hasIpAddress(String) 一、角色权限判断 除了内置权限控制外,Spring Security 中还支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的权限 例如登录微信之后,是否有权限发红包、发朋友圈等,后面的操作是
Oracle角色管理
君子不怨天的博客
04-20 342
角色管理 可以把角色视为可用单条GRANT或REVOKE命令予和撤销的一组权限集合。一个角色可以包含一组权限,同时还可以包一组角色角色使分配多个权限给一个用户变得非常容易。默认角色是用户创建会话时自动起作用得一种角色,可以给用户分配不止一个默认角色。 DBA角色是数据库中预先定义的角色,它是一组系统权限WITH ADMIN OPTION,这表示具有这个角色的用户可将这些系统权限授予其他用户。大多数情形下将这个角色授予进行数据库管理的用户,DBA角色权限很大,一定要慎重授予用户。 Oracle数据库有三
权限控制-@Secured注解
qq_38780240的博客
03-24 9860
SSM框架下,使用SpringSecurity进行身份识别和权限控制,后端通过@Security进行权限控制。 使用步骤: 1、在SpringSecurity的配置文件Spring-security.xml中开启注解。 <security:global-method-security secured-annotations="enabled"/> 2、在相关方法用@Secured进行...
SpringCloud gateway+Spring Security + JWT实现登录和用户权限校验
yuan__once的博客
09-24 1万+
使用SpringCloud gateway与Spring Security以及JWT,在前后端分离情况下的用户统一认证授权
插件开发框架(含开发示例源码,权限管理源码,开发说明文档,基于DevExpress控件)
03-26
1.系统特点 本插件框架实现了界面与逻辑的解偶,从此告别在...并且当关闭Customers页面后,该按钮的状态会自动被禁用,当然如果新增用户,使其不基本Test 1权限,且不设置Admin角色登录后同样该按钮会不能使用。
goapp:Gin + GORM + Casbin + vue-element-admin实现的权限管理系统
03-11
基于Gin + GORM + Casbin + vue-element-admin实现的权限管理系统基于Casbin实现RBAC权限管理前端实现:vue-element-admin在线体验:http://35.241.100.145: 特性 基于Casbin的RBAC访问控制模型 JWT认证 前一级分离...
JSP基于Layui+SSM汽车租赁管理系统设计带角色权限管理+源代码+文档说明+数据库.zip
12-16
JSP基于Layui+SSM汽车租赁管理系统设计带角色权限管理毕业源码案例设计 功能说明: 管理员角色包含以下功能:管理员登录,客户管理,汽车管理,添加车辆,出租汽车,添加出租记录,出租单管理,汽车入库,检查单管理,系统...
Spring Boot整合Spring Security (三) 权限配置实战
阳光大男孩!!!的博客
01-11 2633
/** * @author 阳光大男孩!!! */ @RestController @Slf4j @RequestMapping("/auth") public class AuthTestController { @Secured({"ROLE_admin"}) @GetMapping("/admin") public String admin() { return "Hello admin"; } @Secured({"ROLE_admin",
SpringSecurity登录验证没有权限的问题(403)
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
Spring Security登录的认证和授权
S mile0804的博客
02-21 4163
一、Spring Security简介 Spring Security是一个专注于为Java应用程序提供身份认证和授权的框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了......
十、Spring Boot 安全管理(3)
走在bug的路上
08-10 1129
高级配置
Spring Security 安全框架应用
weixin_45001033的博客
07-23 763
Security背景 企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共享做了具体的落地实现, 例如:Spring的Security | Apache的shiro诞生了
尚筹网:Admin分配Role角色
OceanStar的博客
01-08 562
权限验证 给Admin分配Role 创建中间表 CREATE TABLE inner_admin_role ( id INT (11) NOT NULL auto_increment, admin_id INT (11), role_id INT (11), PRIMARY KEY (id) ); ※说明:不做逆向工程,直接使用SQL操作。 思路 调整"分配"按钮 所在工程:atcr...
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有
热门推荐
邹浩阳的专栏
08-25 7万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
13.Spring security权限管理
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
thinkphp6 vue 角色权限
最新发布
12-29
meta: { requiresAuth: true, roles: ['admin'] } // 需要登录角色admin才能访问 }, { path: 'users', component: Users, meta: { requiresAuth: true, roles: ['admin'] } // 需要登录角色admin才能...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值