java - @PreAuthorize 注释不起作用 Spring 安全性

标签 java spring spring-security

我发现了很多类似的问题,但没有一个能解决我的问题。 我的问题是ROLE_USER可以访问ROLE_ADMIN的功能

我的 spring-security.xml 代码如下。

<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:s="http://www.springframework.org/schema/security"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://www.springframework.org/schema/beans
                    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                    http://www.springframework.org/schema/security
                    http://www.springframework.org/schema/security/spring-security-3.0.xsd">   

<s:http auto-config="true" use-expressions="true">
    <s:intercept-url pattern="/index.jsp" access="permitAll" />
    <s:intercept-url pattern="/welcome*" access="hasRole('ROLE_USER')" />
    <s:intercept-url pattern="/helloadmin*" access="hasRole('ROLE_ADMIN')" />

    <s:form-login login-page="/login" default-target-url="/welcome"
        authentication-failure-url="/loginfailed" />
    <s:logout logout-success-url="/logout" />
</s:http>

<s:authentication-manager>
  <s:authentication-provider>
    <s:user-service>
        <s:user name="asif" password="123456" authorities="ROLE_USER,ROLE_ADMIN" />
        <s:user name="raheel" password="123456" authorities="ROLE_USER" />          
    </s:user-service>
  </s:authentication-provider>
</s:authentication-manager>

当我添加 <s:global-method-security pre-post-annotations="enabled"/> 我的代码显示资源未找到错误,当我删除我的代码时执行成功,但 ROLE_USER 可以访问 ROLE_ADMIN 函数

我的 Controller 功能是。

@PreAuthorize("hasRole('ROLE_ADMIN')")
@RequestMapping(value="/delete", method = RequestMethod.GET)
public String DeleteAll(ModelMap model, Principal principal ) {

    org.springframework.security.core.userdetails.User activeUser = (org.springframework.security.core.userdetails.User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    System.out.println("Active user is "+activeUser.getUsername()+"Authorities are "+activeUser.getAuthorities());
    return "deleteUsers";

}

最佳答案

如果您使用的是 XML 配置,请不要忘记添加以下属性:

<s:global-method-security pre-post-annotations="enabled"/>

如果您使用的是 Java Configuration,请不要忘记添加以下注解:

@EnableGlobalMethodSecurity(prePostEnabled = true)

关于java - @PreAuthorize 注释不起作用 Spring 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11841156/

上一篇:spring - 没有这样的属性 : springSecurityService for class: DUMMY

下一篇:java - 使用 Spring Data 创建只读存储库

相关文章:

java - Spring资源服务器授权有两个不同的授权服务器,失去了主体

java - 在 Spring 中使用 AuthenticationSuccessHandler 重定向登录页面

java - JAVA 中的 EncodeBase64 返回错误的输出

java - 在 Java 中展平 XML 文档

java - @DateTimeFormat 转换为 JSON 格式错误

java - Spring 扫描器 bean

java - 如何为 ProcessBuilder 进程设置 .bat 环境变量

java - jackson 反序列化json到java对象

java - 设置 Spring Security : Invalid content was found starting with element 'security:http'

java - Spring Security - 无效的列索引异常

©2024 IT工具网  联系我们