Spring Boot 和 Spring Security:管理员角色身份验证问题 - 出现 403 禁止错误
问题描述 投票:0回答:1
我在实现角色和权限逻辑方面遇到了障碍。
注册为管理员并成功进行身份验证后,我尝试使用身份验证期间生成的令牌访问特定于管理员角色的端点。但是,我不断收到 403 Forbidden 错误。
您能看一下并帮我找出可能缺少或不正确的内容吗?
代码:
管理控制器
@RestController
@RequestMapping(path = "/api/v1/Admin")
//@PreAuthorize("hasRole('ADMIN')")
public class AdminController {
private final AnoUserService anoUserService;
@Autowired
public AdminController(AnoUserService anoUserService) {
this.anoUserService = anoUserService;
@GetMapping("/hello")
public String hello(){
return "Hello admin";
}
}
弹簧配置
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
http
.cors(withDefaults())
.csrf(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(req ->
req.requestMatchers(
"/api/v1/auth/**",
).permitAll()
.requestMatchers("/api/v1/Admin/**").hasRole(ADMIN.name())//securing the admin endpoint
//then securing the different operations
.requestMatchers(GET,"/api/v1/Admin/**").hasAuthority(ADMIN_READ.name())
.requestMatchers(POST,"/api/v1/Admin/**").hasAuthority(ADMIN_CREATE.name())
.requestMatchers(PUT,"/api/v1/Admin/**").hasAuthority(ADMIN_UPDATE.name())
.requestMatchers(DELETE,"/api/v1/Admin/**").hasAuthority(ADMIN_DELETE.name())
.anyRequest()
.authenticated()
)
.sessionManagement(session -> session.sessionCreationPolicy(STATELESS))
.authenticationProvider(authenticationProvider)
.addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
枚举角色类:
package com.example.PFA.anoUser;
//import com.example.PFA.role.Role;
//import com.example.PFA.role.RoleRepository;
import lombok.Getter;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import java.util.Collections;
import java.util.List;
import java.util.Set;
import java.util.stream.Collectors;
import static com.example.PFA.anoUser.Permission.*;
@RequiredArgsConstructor
public enum EnumRole {
USER(Collections.emptySet()),
ADMIN(
Set.of(
ADMIN_READ,
ADMIN_CREATE,
ADMIN_UPDATE,
ADMIN_DELETE
)
);
@Getter
private final Set<Permission> permissions;
public List<SimpleGrantedAuthority> getAuthorities(){
var authorities = this.getPermissions()
.stream()
.map(permission ->new SimpleGrantedAuthority(permission.getPermission()) )
.collect(Collectors.toList());
authorities.add(new SimpleGrantedAuthority("ROLE_" + this.name()));
return authorities;
}
}
当我使用 jwt debbuing 时,我看到用户确实拥有所需的权限,但仍然收到 403 错误
1个回答
0
投票
投票
如果您的
RoleAdminAuthorityROLE_AdminAuthority#hasAuthority()Role#hasRolehasAuthority@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
http
.cors(withDefaults())
.csrf(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(req ->
req.requestMatchers("/api/v1/auth/**").permitAll()
.requestMatchers("/api/v1/Admin/**").hasRole(ADMIN.name())
.requestMatchers(GET,"/api/v1/Admin/**").hasRole(ADMIN_READ.name())
.requestMatchers(POST,"/api/v1/Admin/**").hasRole(ADMIN_CREATE.name())
.requestMatchers(PUT,"/api/v1/Admin/**").hasRole(ADMIN_UPDATE.name())
.requestMatchers(DELETE,"/api/v1/Admin/**").hasRole(ADMIN_DELETE.name())
.anyRequest().authenticated())
.sessionManagement(session -> session.sessionCreationPolicy(STATELESS))
.authenticationProvider(authenticationProvider)
.addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}
最新问题
- iOS 应用程序被 Apple 应用程序审核团队按照准则 2.3.10 - 性能 - 准确的元数据拒绝
- 如何使用数据透视表来识别不同列中的重复单词
- 如何按照特定顺序分割字符?
- 重命名 /docs 子文件夹不更改导航
- 了解Java并发
- Jmeter GRPC 请求中出现错误。无法调试
- 无法按照虚拟机上 CentOS 7 的官方安装指南安装 Kubernetes 最新版本
- 为具有泛型函数字段的泛型类实现 `copyWith`
- 在小尺寸向量中查找异常值
- bash:条件语句导致 macOS 上出现“意外的文件结尾”
- 最简单的解决方案:“onClick”事件更改图标的“颜色”(平台 = Carrd.co)
- 如果在 Woocommerce 设置中禁用库存管理,是否可以从 REST API 获取 stock_status?
- ASP.NET Core 将 JSON 反序列化为派生类
- 我该如何应对 Google 对我的应用的严厉对待?
- 如何在 Kotlin 中扩展枚举?
- C - 返回字符串的函数超时
- AVAudioEngine和playernode没有输出声音并且错误macOS和swift
- aws 专用主机:完全专用与共享?
- Nodejs 在生成子进程时忽略 cwd
- 如何实现班级组合
© www.soinside.com 2019 - 2024. All rights reserved.