Spring Security 基于角色的授权问题：403 禁止错误-Java-PHP中文网

Spring Security 基于角色的授权问题：403 禁止错误

PHPz

发布： 2024-02-09 11:21:08

转载

1073人浏览过

spring security 是一个功能强大的安全框架，用于保护应用程序免受恶意攻击。在使用 spring security 过程中，角色的授权问题可能会引发 403 禁止错误。php小编香蕉为您详细介绍了这个问题，并提供了解决方案，帮助您顺利解决角色授权的困扰。无论您是初学者还是有经验的开发者，本文都将帮助您深入理解 spring security 的角色授权机制，并学会正确地处理 403 禁止错误。

问题内容

问题：

我正在尝试创建一个基于 spring 的 web 服务器，并具有基于角色的身份验证，但我始终收到 403 forbidden 错误。我已经实现了自定义 userdetails 类，我怀疑我的配置可能存在问题。

代码：

自定义 userdetails:

public class customuserdetails implements userdetails {
    private static final long serialversionuid = 1l;
    private final user user;

    public customuserdetails(user user) {
        this.user = user;
    }

    @override
    public collection<? extends grantedauthority> getauthorities() {
        return user.getroles().stream().map(r -> new simplegrantedauthority("role_" + r.getname())).tolist();
    }

    // ... other userdetails methods
}

登录后复制

securityfilterchain 实现：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())
        .sessionManagement(sess -> sess.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .authorizeHttpRequests(requests -> requests
            .requestMatchers("/api/**").permitAll()
            .requestMatchers("/secret/**").hasAuthority("USER")
            .anyRequest().authenticated())
        .oauth2ResourceServer(oauth2 -> oauth2.jwt(Customizer.withDefaults()))
        .addFilterBefore(authorizeFilter, UsernamePasswordAuthenticationFilter.class)
        .build();
}

登录后复制

我已经实现了一个自定义 userdetails 类并配置了 spring security 以进行基于角色的身份验证。但是，即使我相信角色已正确分配，我仍然遇到 403 forbidden 错误。我尝试同时使用 hasrole 和 hasauthority，但问题仍然存在。我的配置中缺少什么？

任何见解或建议将不胜感激。谢谢！