Wie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?

Korrektur der Rollenauthentifizierung in Spring Security

Beim Einsatz von Spring Security ist die rollenbasierte Zugriffskontrolle für den Schutz von Ressourcen von entscheidender Bedeutung. In einem kürzlich durchgeführten Projekt sind Sie auf ein Problem gestoßen, bei dem Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen konnten. Wir untersuchen die Grundursache des Problems und bieten eine Lösung zur Behebung.

Ihr konfigurierter AuthenticationManagerBuilder nutzt einen JDBC-basierten Authentifizierungsmechanismus und nutzt eine Datenquelle für die Benutzerauthentifizierung und den Abruf von Berechtigungen. Das Problem ergibt sich aus der Benutzerauthentifizierungsabfrage:

"select username, password, 1 from users where username=?"

In dieser Abfrage ist die „1“ ohne Bedeutung, während der Primärschlüssel zur Benutzeridentifizierung vernachlässigt wird. Infolgedessen wird allen Benutzern fälschlicherweise dieselbe Rolle zugewiesen, sodass Benutzer ohne Administratorrechte Zugriffsbeschränkungen umgehen können.

Um dieses Problem zu beheben, sollte die Authentifizierungsabfrage explizit die mit dem Benutzer verknüpften Rolleninformationen abrufen:

select username, password, role 
from users where username=?

Um der rollenbasierten Zugriffskontrolle Vorrang einzuräumen, sollte außerdem Ihre HTTP-Sicherheitskonfiguration wie folgt geändert werden:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .csrf().disable()      
        .httpBasic()
            .and()
        .authorizeRequests()
            .antMatchers("/users/all").hasRole("admin")
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .exceptionHandling().accessDeniedPage("/403");
}

Hier In der Konfiguration prüft der anyRequest()-Matcher zuerst die Authentifizierung, gefolgt vom rollenspezifischen Matcher für „/users/all“. Dadurch wird sichergestellt, dass Benutzern ohne Administratorrechte der Zugriff auf privilegierte Ressourcen verweigert wird, wodurch Ihr ursprüngliches Problem gelöst wird.

Durch die Implementierung dieser Änderungen funktioniert die rollenbasierte Zugriffskontrolle von Spring Security korrekt und verhindert unbefugten Zugriff auf geschützte Ressourcen.

Das obige ist der detaillierte Inhalt vonWie behebt man Probleme bei der Authentifizierung von Spring-Sicherheitsrollen, wenn Benutzer ohne Administratorrechte auf privilegierte Ressourcen zugreifen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!