Spring Boot下Spring Security权限认证@PreAuthorize注解失效

最新推荐文章于 2024-04-09 20:33:07 发布
最新推荐文章于 2024-04-09 20:33:07 发布
阅读量5.1k 收藏 6
点赞数 2
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xt314159/article/details/119205936
版权

Spring Boot下Spring Security权限认证@PreAuthorize注解失效

根据我的经历,一共有三种情况。如果谁还遇到其他情况可以提出来。

第一种情况。

就是网上大量出现的。没有添加 @EnableGlobalMethodSecurity 注解。
还有 @EnableGlobalMethodSecurity 注解只能添加在继承了WebSecurityConfigurerAdapter
的类上面。

package com.jiang.login.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * SecurityConfig  登录认证的配置
 *
 * @创建人 江枫沐雪
 * @创建时间 2021/7/16 9:09
 */
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("myUserDetailsService")
    private UserDetailsService userDetailsService;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    //查询用户信息
    @Override
    protected void configure(AuthenticationManagerBuilder  auth) throws Exception {
        //用户详情信息
        auth.userDetailsService(userDetailsService)
                //密码加密方式
                .passwordEncoder(bCryptPasswordEncoder);
    }

    //安全拦截机制
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // @formatter:off
        http
                //配置跨域请求 并且 关闭打开的csrf保护
                .cors().and()
                .csrf().disable()
//                 认证配置
                .authorizeRequests()
//                 登录验证等放行
                    .antMatchers("/auth/**","/app/**").permitAll()
//                    .antMatchers("/per/get").hasAuthority("GET_PER")
//                    .antMatchers("/per/getPer").hasAuthority("GET_PER")
//                    .antMatchers("/per/getPer").access("hasRole('ROlE_GET')")
//                 剩下的接口都需要登陆后访问
                    .anyRequest().authenticated()
                    .and()
                //表单登录
                .formLogin()
//                   用户未登录的的时候跳转的这个路径
                    .loginPage("/home")
//                   用户登录时,用户名、密码提交的目的路径
                    .loginProcessingUrl("/login")
//                   用户成功登录以后
                    .successForwardUrl("/success")
                    .and()
                .logout()
                    .logoutUrl("/logout");
//                    .logoutSuccessUrl("/log")
    }
}

第二种情况

就是,你的 @PreAuthorize 注解使用的角色授权,不是资源(权限)授权。

@PreAuthorize(“hasRole(‘USER’)”)

因为你使用的是角色授权,所以Spring Security会自动在你设置的参数前加上一个ROLE_,那么你在添加角色权限的时候传递的差数是ROLE_USER
例如:

UserDetails userDetails = User.withUsername(user.getUsername())
                .password(user.getPassword()).roles("ROLE_USER");

第三种情况

这是我遇见非常诡异的情况。
@PreAuthorize(“hasAuthority(‘GET_PER’)”) 不能生效。

首先我创建了一个LoginController的controller文件,然后在创建了一个测试接口

/**
 * Lonig
 *
 * @创建人 江枫沐雪
 * @创建时间 2021/7/26 14:37
 */
@RestController
public class LoginController {

    @PostMapping("/per/get")
    @PreAuthorize("hasAuthority('GET_PER')")
    private String getPerm(){
        return "拥有权限!";
    }
    
}

但这个测试接口无论如何都无法拦截,但我使用web方法授权就可以。
我调了几个小时,依然没有解决。
但神奇的事情来了。
我又创建了一个controller类RoleController 在他下面重新写了一个普通的查询方法,竟然可以拦截。
于是,我就又在RoleController重新写了一个普通的测试接口,结果成功拦击。
o((⊙﹏⊙))o
当时,我已经懵了!!!
最后,我想是不是我LoginController有问题,我就把LoginController中的方法粘贴复制了过来,发现不能拦截!!!

@RestController
@RequestMapping("role")
public class RoleController {

    @Autowired
    private RoleService roleService;

	//
    @GetMapping("get")
    @PreAuthorize("hasAuthority('GET_ROLE')")
   public ApiResponse getRole(){
        return ApiResponseWithData.ofSuccess(roleService.getRole());
    }

	//
    @GetMapping("permin")
    @PreAuthorize("hasAuthority('GET_PERMIN')")
    public string getPerMin(){
        return "真的好神奇!";
    }

    //从LoginController中粘贴复制过了,但依然不能拦截
    @PostMapping("/per")
    @PreAuthorize("hasAuthority('GET_PER')")
    private string getPer(){
        return "拥有权限!";
    }
}

最后,我放弃寻找原因,因为其他的都可以权限控制。

江枫暮雪
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
专栏目录
我的BUG日志(2020082601):spring security问题,hasAuthority方法无法获取权限的原因
王和平的第三个果园
08-26 1637
这里是spring security初始化用户详情信息 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //省略获取权限列表的代码 return new org.springframework.security.core.userdetails.User(userName, password, authList); } 然后是Controller的调用部分(注意hasAut
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
关于Spring BootSpring Security权限访问设置@PreAuthorize(“hasRole(‘ROLE_ADMIN‘)“)没有用
xiaokanfuchen86的博客
10-10 2923
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用: @PreAuthorize("hasRole('ROLE_ADMIN')") 注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果 ==||| 好了,上网查了一番:Spring Security @PreAuthorize 拦.
@PreAuthorize 不起作用
最新发布
laozengsky的博客
04-09 431
第三步:解决An Authentication object was not found in the SecurityContext 异常和捕捉AccessDeniedException全局异常。使用springsecurity进行权限管理的时候发现该注解并不起作用。第二步:让PreAuthorize注解生效。第一步:自定义权限实现,
Spring Security @PreAuthorize 无效
YHC
09-23 4357
Spring version:Spring Security 3.1@PreAuthorize("hasRole('ROLE_ADMIN')")注解在接口方法上无效,非ROLE_ADMIN角色也可以调用此方法最后终于查找出原因了,不能在业务层使用注解实例化类,要是用xml配置例如:public interface IUserService { /*** * 修改给定用户密码,要求调用者是
@PreAuthorize注解不起作用?
zcents的博客
09-03 2800
1.将prePostEnabled设置为true:@EnableGlobalMethodSecurity(prePostEnabled=true) 2.如果还是不起作用查看是否缺少aop依赖(小编当时不起作用就是缺少这个依赖): spingboot中 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>.
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3083
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
SpringSecurity注解@PreAuthorize失效
y964137520的博客
04-01 1158
1、配置类里这两个注解都加了还无法生效甚至无法注入service对象 @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) 原因:加注解的方法使用了private修饰导致的,改为public即可
具有PreAuthorizeSpring方法安全性
最佳 Java 编程
06-13 1216
朋友不允许朋友写用户身份验证。 厌倦了管理自己的用户? 立即尝试Okta的API和Java SDK。 在几分钟之内即可对任何应用程序中的用户进行身份验证,管理和保护。 本教程将探讨使用Spring SecuritySpring Boot中配置身份验证和授权的两种方法。 一种方法是创建WebSecurityConfigurerAdapter并使用流畅的API覆盖HttpSecurity对象...
关于Spring注解@Async引发其他注解失效的解决
08-27
Spring @Async 注解引发其他注解失效的解决 Spring 框架提供了多种注解来帮助开发者简化代码,例如 @Async 用于异步执行方法、@Transaction 用于事务管理等。但是,在使用这些注解时,可能会遇到一些问题,例如 @...
Spring Boot技术知识点:如何理解@ConfigurationProperties注解
06-20
Spring Boot技术知识点:如何理解@ConfigurationProperties注解
Spring Boot技术知识点:如何使用@Validated注解来对邮箱字段进行数据校验
07-04
Spring Boot技术知识点:如何使用@Validated注解来对邮箱字段进行数据校验
Spring Boot技术知识点:如何理解@Value注解
06-20
Spring Boot技术知识点:如何理解@Value注解
Spring Boot中使用 Spring Security 构建权限系统的示例代码
08-29
Spring Boot中使用Spring Security构建权限系统的示例代码 在本篇文章中,我们将主要介绍如何使用Spring Security框架在Spring Boot项目中构建权限系统。权限控制是非常常见的功能,在各种后台管理系统中权限控制更...
Spring Security @PreAuthorize 拦截无效
weixin_36667844的博客
03-06 6541
1. 在使用spring security的时候使用注解,@PreAuthorize("hasAnyRole('ROLE_Admin')") 放在对方法的访问权限进行控制失效,其中配置如: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Spring Boot 3.x.x Spring Security 6.x.x @PreAuthorize 失效
veno
12-13 735
给@PreAuthorize 打debug,发现不走该注解认证。最近在搞一个后端项目,登录、接口权限、token认证。@PreAuthorize 失效,没有走认证
Spring Security中的@PreAuthorize注解拦截失效
an715396887的博客
08-09 903
Spring BootSpring Security权限认证时,使用@PreAuthorize注解发现并没有拦截成功。Spring Security配置类( 也就是继承了。注解,以启用全局方法级安全性。
spring boot 没有@PreAuthorize注解怎么办
02-21
Spring Boot中,@PreAuthorize注解是用于在方法执行之前进行权限验证的。如果你不想使用@PreAuthorize注解,你可以通过其他方式来实现权限验证。 一种常见的方式是使用Spring Security框架来进行权限验证。Spring Security提供了一套完整的安全认证和授权机制,可以轻松地集成到Spring Boot应用中。 首先,你需要在pom.xml文件中添加Spring Security的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,在你的应用主类上添加@EnableWebSecurity注解,启用Spring Security的功能: ```java import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; @EnableWebSecurity public class YourApplication { // ... } ``` 接下来,你可以创建一个继承自WebSecurityConfigurerAdapter的配置类,来配置权限验证规则: ```java import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin(); } } ``` 上述配置中,我们定义了两个URL模式的权限规则:/admin/**需要具有ADMIN角色才能访问,/user/**需要具有ADMIN或USER角色才能访问。其他URL需要进行身份验证。 当你使用Spring Security进行权限验证时,你可以在方法中使用注解来进行更细粒度的权限控制,例如@Secured、@RolesAllowed等。 除了Spring Security,你还可以使用其他的权限验证框架或自定义实现来替代@PreAuthorize注解。这些方式的具体实现方式会根据你的需求和项目架构而有所不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值