403 доступ запрещен Spring Security каждый раз
Я получаю 403 на каждый запрос с шаблоном /admin Мне нужно ограничить /admin только для роли администратора.
Неудачный подход:
- Пробовал использовать
@PreAuthorize(hasRole('ADMIN'))и@PreAuthorize(hasRole('ROLE_ADMIN'))на контроллере, но безуспешно. - Пробовал удалить
@PreAuthorizeиз контроллера и добавить шаблон в класс ниже с помощью hasRole, но безуспешно.
Ниже класс расширяется WebSecurityConfigurerAdapter
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
AuthenticationEntryPoint authenticationEntryPoint;
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.exceptionHandling()
.authenticationEntryPoint(authenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS).permitAll()
.antMatchers(HttpMethod.GET,"/admin/**").hasAnyRole("ADMIN","ADMIN_TENANT")
.anyRequest().authenticated()
.and()
.logout()
.permitAll()
.and()
.csrf()
.disable();
httpSecurity.
addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
httpSecurity.
headers().cacheControl().disable();
}
Уже пробовал решения, упомянутые в подобном вопросе, но не повезло. Поэтому, пожалуйста, не отмечайте его как дубликат.
Да, при удалении /admin из antmatchers я могу получить к нему доступ, но мне нужна авторизация.
—
02.04.2019 11:17
Можете ли вы использовать свои antmatchers, например, "antMatchers("/admin/**").access("hasRole('ADMIN')") "?
—
02.04.2019 11:21
изменить hasAnyrole на hasAnyAuthority
—
02.04.2019 11:52
Также попытался изменить его на hasAnyAuthority, но это не сработало.
—
02.04.2019 12:06
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами
В компьютерном программировании биты играют важнейшую роль в представлении и манипулировании данными на двоичном уровне. Побитовые операции...
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Приходилось ли вам сталкиваться с требованиями, в которых вас могли попросить поднять тревогу или выдать ошибку, когда метод Java занимает больше...
Полный курс Java для разработчиков веб-сайтов и приложений
Получите сертификат Java Web и Application Developer, используя наш курс.
0
5
425
2
Ответы 2
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
AuthenticationEntryPoint authenticationEntryPoint;
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.exceptionHandling()
.authenticationEntryPoint(authenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS).permitAll()
.antMatchers(HttpMethod.GET,"/admin/**").hasAnyRole("ADMIN","ADMIN_TENANT") // change hasAnyrole to hasAnyAuthority
.anyRequest().authenticated()
.and()
.logout()
.permitAll()
.and()
.csrf()
.disable();
httpSecurity.
addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
httpSecurity.
headers().cacheControl().disable();
}
почему, потому что если вы используете метод hasAnyRole, он автоматически добавит Role_ ко всем вещам, упомянутым в hasAnyRole
—
02.04.2019 11:54
Мой похожий проект Git: здесь
// Config to check if already active
http.authorizeRequests()
.and()
.rememberMe()
.tokenRepository(new JdbcTokenRepositoryImpl().setDataSource(//datasource_name) )
.tokenValiditySeconds(//TimeInterval in sec);
}
Другие вопросы по теме
Как я могу прервать запуск приложения spring-boot, если имя темы kafka из свойств не существует в kafka?
Не удалось получить объекты из RestController загрузки Spring в службу angular 6
Как передать дату гггг-мм-дд в теле запроса контроллера весенней загрузки, когда формат временной метки по умолчанию установлен на что-то другое
SpringPhysicalNamingStrategy с настраиваемым суффиксом
Объект исключения junitparameter класса
Как получить настроенный объект JSON в методе публикации Spring boot Api
Как получить zip-файл в качестве ответа при весенней загрузке Java?
Требуемая часть запроса «файл» отсутствует - Angular 4
JPA - Спецификация с пунктом in и без учета регистра
Как получить состояние с помощью пользовательского запроса? Приложение Corda с использованием веб-сервера Spring boot — ошибка при получении результата
Похожие вопросы
Почему я не могу создать онтологию?
Заполнить текстовое поле из Combox
Как я могу прервать запуск приложения spring-boot, если имя темы kafka из свойств не существует в kafka?
Как установить прогресс для многих индикаторов выполнения в RecyclerView
Почему структура данных Java (например, массив), похоже, не поддерживает векторизованную операцию?
Не удалось получить объекты из RestController загрузки Spring в службу angular 6
Подключить магазин Apple Store разработчика, используя подписанный токен jwt
Java: метод доступа к другому экземпляру того же класса
Лучшая практика Docker + Log4j
Уведомление Android Firebase не отображается в версии Android 8 или выше
Можете ли вы получить доступ к запросам, связанным с /admin, когда вы полностью удалите авторизацию? а также удалить HttpMethod.GET из антматчеров и проверить