spring security 是一个功能强大的安全框架,用于保护应用程序免受恶意攻击。在使用 spring security 过程中,角色的授权问题可能会引发 403 禁止错误。php小编香蕉为您详细介绍了这个问题,并提供了解决方案,帮助您顺利解决角色授权的困扰。无论您是初学者还是有经验的开发者,本文都将帮助您深入理解 spring security 的角色授权机制,并学会正确地处理 403 禁止错误。
问题内容
问题:
我正在尝试创建一个基于 spring 的 web 服务器,并具有基于角色的身份验证,但我始终收到 403 forbidden 错误。我已经实现了自定义 userdetails 类,我怀疑我的配置可能存在问题。
代码:
自定义 userdetails:
public class customuserdetails implements userdetails {
private static final long serialversionuid = 1l;
private final user user;
public customuserdetails(user user) {
this.user = user;
}
@override
public collection<? extends grantedauthority> getauthorities() {
return user.getroles().stream().map(r -> new simplegrantedauthority("role_" + r.getname())).tolist();
}
// ... other userdetails methods
}
securityfilterchain 实现:
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
return http
.csrf(csrf -> csrf.disable())
.sessionManagement(sess -> sess.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
.authorizeHttpRequests(requests -> requests
.requestMatchers("/api/**").permitAll()
.requestMatchers("/secret/**").hasAuthority("USER")
.anyRequest().authenticated())
.oauth2ResourceServer(oauth2 -> oauth2.jwt(Customizer.withDefaults()))
.addFilterBefore(authorizeFilter, UsernamePasswordAuthenticationFilter.class)
.build();
}
我已经实现了一个自定义 userdetails 类并配置了 spring security 以进行基于角色的身份验证。但是,即使我相信角色已正确分配,我仍然遇到 403 forbidden 错误。我尝试同时使用 hasrole 和 hasauthority,但问题仍然存在。我的配置中缺少什么?
任何见解或建议将不胜感激。谢谢!
解决方法
对于具有 JWT 的资源服务器,权限由身份验证转换器设置。
默认的身份验证转换器是 JwtAuthenticarionConverter,它将权限转换委托给可配置的权限转换器(默认使用 scope 声明中的条目添加 SCOPE_ 前缀)。
您可以提供一个配置有另一个权限转换器的 JwtAuthenticationConverter (一个使用另一个声明作为权限源),或者切换到完全不同的 Converter<jwt>http.oauth2ResourceServer 扩展 AbstractAuthenticationToken></jwt>(oauth2-> oauth2.jwt(Jwt -> jwt.jwtAuthenticationConverter(...))
您也可以考虑这个额外的启动器我维护它使用一个可配置的权限转换器应用程序属性(除非您在conf中提供自己的权限或身份验证转换器)
您可以尝试打开spring的TRACE日志并找出问题发生的位置。这个建议可能不能直接帮助到你,但是确实帮助我们找到了迁移到Springboot3.0时API返回403的原因
