java黑洞网 首页 博客 问答 站长公众号 pdf 视频 游戏 脚本 实战 其它资源
写博客 注册
本站消息

站长简介/公众号

  出租广告位,需要合作请联系站长


+关注
已关注

分类  

暂无分类

标签  

暂无标签

日期归档  

暂无数据

无法让 @PreAuthorize 与角色层次结构配合使用

发布于2024-11-10 22:26     阅读(782)     评论(0)     点赞(11)     收藏(5)

我有一个自定义身份验证提供程序,它返回“AbstractAuthenticationToken withROLE_ADMIN only. I have a method annotated with@PreAuthorize("hasRole('ROLE_USER')")”的具体实现。我正在尝试设置角色层次结构以授予我的管理员用户访问此方法的权限。

我的 spring-security.xml 中有以下内容:

<beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
    <beans:property name="hierarchy">
        <beans:value>
            ROLE_ADMIN > ROLE_USER
        </beans:value>
    </beans:property>
</beans:bean>

<beans:bean id="methodExpressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
    <beans:property name="roleHierarchy" ref="roleHierarchy" />
</beans:bean>

<sec:global-method-security pre-post-annotations="enabled">
    <sec:expression-handler ref="methodExpressionHandler" />
</sec:global-method-security>

对受保护方法的请求被拒绝,尽管如果我将注释更改为,它就可以工作@PreAuthorize("hasRole('ROLE_ADMIN')")

我在 上放置了一个断点AccessDeniedException,这是从 抛出的AffirmativeBased.decide(...)。问题似乎是 是PreInvocationAuthorizationAdviceVoter说明我的 roleHierarchy 或 methodExpressionHandler 接线有问题。expressionHandlernull

我的 spring-security.xml 有什么明显错误吗?我是否对这些东西的工作原理有什么误解?


解决方案

哦,我太傻了...我的问题中没有足够的内容来回答这个问题,但我已经解决了。

<global-method-security>在我的spring-security.xml和我的都有dispatcher-servlet.xml。我只在spring-security内进行更改。

当我在 的构造函数上放置一个断点时,问题就暴露了DefaultMethodSecurityExpressionHandler。它被调用了两次。一次被调用了setRoleHierarchy,另一次没有。

解决方案是:

  1. 将通用角色层次定义移出到单独的文件中,以便由spring-security.xml和导入dispatcher-servlet.xml
  2. <global-method-security>豆子methodExpressionHandlerspring-security.xml移到dispatcher-servlet.xml


所属网站分类: 技术文章 > 问答

作者:黑洞官方问答小能手

链接:http://www.javaheidong.com/blog/article/693738/14e5af2b8b3a53d745a0/

来源:java黑洞网

任何形式的转载都请注明出处,如有侵权 一经发现 必将追究其法律责任

11 0
收藏该文
已收藏

评论内容:(最多支持255个字符)




程序员的那些事(new) 更多>

2022年最受欢迎的8大编程语言

为什么都说程序员找不到女朋友,但是身边程序猿的却没一个单身的

程序员被开除,老板:“有你参与的项目全黄了!”

笑话:一个测试工程师走进一家酒吧

趣图:程序员头疼的4种原因

笑话:面试官:请拿出一段体现你水平的代码。我: sudo rm -rf /*面试官:这体现了你哪方面能力?

java精选:SSO单点登录】JWT入门概述&&残留的安全问题

程序人生:程序员如何实现财富自由?

找工作千万不要找外包?BAT互联网大厂外包亲身经历

程序员的工资这么高,为什么还会有人离职?

电子书(new)

java jdk8 学习笔记

深入剖析Tomcat pdf下载

Java与模式 pdf下载

深入理解Java虚拟机:JVM高级特性与最佳实践(第2版) pdf 下载

数据结构与算法分析:Java语言描述(原书第3版) pdf  下载

Java并发编程实战 中文版 PDF扫描版[9MB]

数据结构与算法分析:Java语言描述(原书第3版) 中文完整pdf扫描版[47MB] 附源码

Hadoop权威指南 pdf下载

重构 改善既有代码的设计 pdf下载

JAVA编程思想 pdf下载

脚本(new)

输入一个数据n,计算斐波那契数列(Fibonacci)的第n个值

求 a+aa+aaa+.......+aaaaaaaaa=?

输出所有的水仙花数,把谓水仙花数是指一个数3位数,其各各位数字立方和等于其本身,

利用for循环打印 9*9 表?

编写程序求 1+3+5+7+……+99 的和值。

给定一个百分制的分数,输出相应的等级

编写程序,判断给定的某个年份是否是闰年

一些有趣的java小程序

菱形的图形生成器,2到100以内的质数-java实用小程序

java代码游戏编写

博客(new)

【Java 22 | 7】 深入解析Java 22 :密封类(Sealed Classes)增强详解

Java 多线程(三)—— 死锁

JSON parse error: Cannot deserialize value of type `java.util.Date` from String “2024-09-19 10:40:40

Java毕业设计:Java河南郑州景区景点买票购票系统毕业设计源代码作品和开题报告

Android Studio开发学习(一、用户登录)

华为OD机试 - 处理器问题(Java & JS & Python & C & C++)

C++之多态的深度剖析

Java 继承

JavaScript-sort()排序

【面试宝典】Java中创建线程池的几种方式以及区别

视频教程(new)

由浅入深,全面解析ThreadLocal

超全面讲解Spring Cloud Alibaba技术栈,java视频教程下载

三天全面系统学习ZooKeeper

2020年JavaSE强化系列教程泛型全剖析,java视频教程下载

详讲编码与解码,灵活解决乱码难题,java 视频教程下载

2020年抗疫之作java基础进阶13天

系统学习让你轻松定义java类加载器-java视频教程下载

真小白福音,完全从0带你掌握计算机与编程基础

java零基础入门到精通(2019版)

2020JAVA基础-深入系统的学习数据结构与算法

项目实战(new)

JSP+SSM+Mysql实现的学生成绩管理系统

JSP+Structs+JDBC+mysql实现的诚欣电子商城

JSP+SSH+Mysql+DBCP实现的租车系统

博客系统java项目

这是一个在线考试系统,java项目实战源码下载

简单状态机

Java Web编程课程中开发的项目

银行账户项目样本 用Java完成的一个简单项目

一个使用Java开发在线概述用户管理平台

JAVAWeb项目 JAVA-WEB开发的一些练手项目,这些也适合初学者进行练习

问答(new)

带有序列化对象的 java.io.StreamCorruptedException

使用 @ModelAttribute 和 RedirectAttributes

android - 带有 HashMap 的 ListView 适配器无法正确显示

我的 Push 功能有什么问题?堆叠

Java 中的 RCaller 和 RQuantlib 错误

无法让 @PreAuthorize 与角色层次结构配合使用

为什么要对 List 对象进行向上转型?Android / Java 语法

关于 Java 中通配符(泛型)的说明

在android中拨打没有活动的电话

如何使用 xpath 查找特定类型的所有 xml 元素?

游戏(new)

2人对战游戏,java游戏

java小游戏-数学英雄

java游戏-蛙人

经典骰子游戏,java游戏源码下载

一些java小游戏

java小游戏-抓住这只球

二十一点,java小游戏源码下载

java小游戏集合下载

java五子棋游戏源码下载

java贪吃蛇游戏

其他资源(new)

某公司的雇员分为以下若干类: Employee:这是所有员工总的父类,属性:员工的姓名和生日月份。 方法:getSalary(int month) 根据参数月份来确定工资,如果该月员工过生日,

判断随机整数是否是素数 产生100个0-999之间的随机整数,然后判断这100个随机整数哪些是素数,哪些不是?

完成九宫格程序

. 定义一个int型的一维数组,包含10个元素,分别赋一些随机整数,然后求出所有元素的最大值

歌德巴赫猜想,任何一个大于六的偶数可以拆分成两个质数的和

在屏幕上打印出n行的金字塔图案,如,若n=5,则图案如下

计算圆周率

利用程序输出如下图形:

求 2/1+3/2+5/3+8/5+13/8.....前20项之和?

Nutch入门教程 pdf下载