java - spring security中尝试访问登录页面时访问被拒绝异常

Question

我正在使用基于 Java 的 Spring Security。我已经创建了自定义访问决策投票者实现。

但是当我运行应用程序时，我无法打开登录页面，如其所说，访问被拒绝。

这发生在我添加自定义访问决策投票器实现之后。我猜这个问题是因为自定义 AccessDecisionVoter 中的以下代码。

if(authentication instanceof AnonymousAuthenticationToken)
            return ACCESS_DENIED;

但我需要这个，以便不检查未登录用户的权限。

它进入无限循环，登录页面，访问决策投票器，访问被拒绝，登录页面等等。

下面是spring security配置代码。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private AffirmativeBased accessDecisionManager;

    @Bean
    @Autowired
    public AffirmativeBased accessDecisionManager(AccessDecisionVoterImpl accessDecisionVoter) {
        List<AccessDecisionVoter<?>> accessDecisionVoters = new ArrayList<AccessDecisionVoter<?>>();
        accessDecisionVoters.add(accessDecisionVoter);
        AffirmativeBased accessDecisionManager = new AffirmativeBased(accessDecisionVoters);
        return accessDecisionManager;
    }

    @Override
    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        PasswordEncoder passwordEncoder = new PasswordEncoder();
        passwordEncoder.setStringDigester(stringDigester());
        return passwordEncoder;
    }

    @Bean
    public PooledStringDigester stringDigester() {
        PooledStringDigester psd = new PooledStringDigester();

        psd.setPoolSize(2);
        psd.setAlgorithm("SHA-256");
        psd.setIterations(1000);
        psd.setSaltSizeBytes(16);
        psd.setSaltGenerator(randomSaltGenerator());

        return psd;
    }

    @Bean
    public RandomSaltGenerator randomSaltGenerator() {
        RandomSaltGenerator randomSaltGenerator = new RandomSaltGenerator();
        return randomSaltGenerator;
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers("/static/**")
                .antMatchers("/i18n/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
        .and()
            .formLogin()
            .loginPage("/login")
            .loginProcessingUrl("/checkLogin")
            .defaultSuccessUrl("/home")
            .failureUrl("/login?login_error=1")
            .usernameParameter("username")
            .passwordParameter("password")
            .permitAll()
        .and()
            .logout()
            .logoutUrl("/logout")
            .logoutSuccessUrl("/login?isLoggedOut=1")
            .deleteCookies("JSESSIONID")
            .invalidateHttpSession(true)
            .permitAll()
        .and()
            .authorizeRequests()
            .antMatchers("/login**").permitAll()
            .antMatchers("/error**").permitAll()
            .antMatchers("/checkLogin**").permitAll()
            .anyRequest()
            .authenticated()
            .accessDecisionManager(accessDecisionManager)
        .and()
            .exceptionHandling()
            .accessDeniedPage("/accessDenied")
        .and()
            .headers()
            .frameOptions()
            .disable()
        .and()
            .sessionManagement()
            .invalidSessionUrl("/login")
            .maximumSessions(1);
    }

}

和我的自定义选民影响

@Component
public class AccessDecisionVoterImpl implements AccessDecisionVoter {

    @Autowired
    private ModuleService moduleService;

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class clazz) {
        return true;
    }

    @Override
    public int vote(Authentication authentication, Object object, Collection collection) {
// i have given this so that if user is not logged in then should not check permission at all 
        if(authentication instanceof AnonymousAuthenticationToken)
            return ACCESS_DENIED;

             HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
    String requestedOperation = request.getParameter("operation");

    if (requestedOperation != null && !requestedOperation.isEmpty()){
        String [] requestURISplit = request.getRequestURI().split("/");
        String requestedModuleName = requestURISplit[2];

        if(SecurityUtils.hasPermission(requestedModuleName, requestedOperation)){
           return ACCESS_GRANTED;
        }
    } else {
        return ACCESS_GRANTED;
    }

    return ACCESS_DENIED; 

此外，当我从我的选民中删除以下几行时，如果用户未登录并尝试访问安全页面，它会继续。它应该重定向到登录页面。

if(authentication instanceof AnonymousAuthenticationToken)
                return ACCESS_DENIED;

这是我第一次尝试使用 spring boot。因此，我不确定所有配置问题。

antMatchers的顺序有问题吗？

请帮忙。

Answer 1

你的 AccessDecisionVoter需要要么

• 放弃投票(AccessDecisionVoter.ACCESS_ABSTAIN):如果投票者无法做出决定(例如，用户未经授权，无法从请求上下文中获取模块等)
• 授予访问权限(AccessDecisionVoter.ACCESS_GRANTED):如果模块可以被识别并且用户被授权
• 拒绝访问(AccessDecisionVoter.ACCESS_DENIED):如果模块可以被识别且用户未被授权

使用 AccessDecisionManager 配置，您基本上取消了基于 url 的访问限制，例如:

http.authorizeRequests()
    .antMatchers("/css/**", "/img/**", "/js/**", "/font/**").permitAll()
    .antMatchers("/login**").permitAll()
    .antMatchers("/error**").permitAll()
    .antMatchers("/checkLogin**").permitAll()
    .anyRequest()
        .authenticated()

默认情况下 spring 使用 WebExpressionVoter为了这个目的。 然而，AffirmativeBased AccessDecisionManager如果至少有一个 AccessDecisionVoter 授予对资源的访问权限(这可能不是您想要的)，则授予访问权限。 根据您的要求 ConsensusBased包含 WebExpressionVoter 的 AccessDecisionManager 将是最佳匹配。

@Bean
public AccessDecisionManager accessDecisionManager() {
    List<AccessDecisionVoter<? extends Object>> decisionVoters = new ArrayList<>();
    decisionVoters.add(new WebExpressionVoter());
    decisionVoters.add(new ModuleAccessDecisionVoter());
    ConsensusBased consensusBased = new ConsensusBased(decisionVoters);

    // deny access if voters equally voted to allow and deny access
    consensusBased.setAllowIfEqualGrantedDeniedDecisions(false);
    return consensusBased;
}

您的AccessDecisionVoter 实现:

static class ModuleAccessDecisionVoter implements AccessDecisionVoter<FilterInvocation> {

    public int vote(Authentication authentication, FilterInvocation object, Collection<ConfigAttribute> attributes) {
        if (authentication == null || authentication instanceof AnonymousAuthenticationToken) {
            return ACCESS_ABSTAIN;
        }

        // determine module and grant or deny access
        // if module cannot be determined abstain from voting
        String module = determineModule(object);
        if (module != null) {
            return isAccessGranted(module, authentication) ? ACCESS_GRANTED : ACCESS_DENIED
        }

        return ACCESS_ABSTAIN;
    }
}

---

匿名访问应导致以下结果:

• /login:WebExpressionVoter:+1，ModuleVoter:0 -> 1 = ACCESS_GRANTED
• /foo-module: WebExpressionVoter: -1, ModuleVoter: -1 -> -2 = ACCESS_DENIED

给定一个允许查看 Foo 模块的用户应该产生以下结果:

• /foo-module: WebExpressionVoter: +1, ModuleVoter: +1 -> 2 = ACCESS_GRANTED
• /bar-module: WebExpressionVoter: +1(因为用户已通过身份验证)，ModuleVoter: -1 -> 0 = ACCESS_DENIED(因为 ConsensusBased.setAllowIfEqualGrantedDeniedDecisions(false))