Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题

2023-12-02

简而言之，我正在尝试实现一个自定义 FilterInitationSecurityMetadataSource，以便使用 spring security 5.0.6 和 Spring Boot 2.0.3 在我的 Web 应用程序中动态保护/授权某些部分/URL 端点。

问题是，无论我使用什么角色，它总是给我提供禁止页面。

我已经尝试过使用不同角色名称的几种方法，并且（相信我）我已经搜索了整个互联网，甚至搜索了 Spring Security 5.0.6 书籍，但似乎没有任何效果。

这个问题可能类似于：Spring Security 动态保护 URL 的问题

下面是自定义FilterIncationSecurityMetadataSource的相关部分

public class DbFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

public Collection<ConfigAttribute> getAttributes(Object object)
        throws IllegalArgumentException {
    FilterInvocation fi=(FilterInvocation)object;
    String url=fi.getRequestUrl();

    System.out.println("URL requested: " + url);

    String[] stockArr = new String[]{"ROLE_ADMIN"};

    return SecurityConfig.createList(stockArr);
}

下面是securitywebconfigAdapter的自定义实现的相关部分

@Configuration
public class Security extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .anyRequest().authenticated()
            .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
            public <O extends FilterSecurityInterceptor> O postProcess(
                    O fsi) {
                FilterInvocationSecurityMetadataSource newSource = new DbFilterInvocationSecurityMetadataSource();
                fsi.setSecurityMetadataSource(newSource);
                return fsi;
            }
        })
        .and()
        .formLogin()
        .permitAll();
}

下面是自定义 userDetails 权限的相关部分。用户在数据库中具有角色：ROLE_ADMIN。

public class CustomUserDetails extends User implements UserDetails {

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    List<String> dbRoles=new ArrayList<String>();
    for (Role userRole : super.getRoles()) {
        dbRoles.add(userRole.getType());
    }

    List<SimpleGrantedAuthority> authorities=new ArrayList<SimpleGrantedAuthority>();
    for (String role : dbRoles) {
        authorities.add(new SimpleGrantedAuthority(role));
    }
    return authorities;
}

我究竟做错了什么？？
如果需要更多代码，请在下面评论。
如果你有好书，我可以在下面学习 Spring 安全授权的动态部分。谢谢！

我设法通过调试进入安全流程，似乎通过创建此 SecurityConfig 类的 ConfigAttributes 是“罪魁祸首”

return SecurityConfig.createList(stockArr);
public static List<ConfigAttribute> createList(String... attributeNames) {
    Assert.notNull(attributeNames, "You must supply an array of attribute names");
    List<ConfigAttribute> attributes = new ArrayList(attributeNames.length);
    String[] var2 = attributeNames;
    int var3 = attributeNames.length;

    for(int var4 = 0; var4 < var3; ++var4) {
        String attribute = var2[var4];
        attributes.add(new SecurityConfig(attribute.trim()));
    }

    return attributes;
}

上面是该方法的实际实现，你可以看到

attributes.add(new SecurityConfig(attribute.trim()));

这总是创建 SecurityConfig 类型的实例。

在下面您可以实际看到决策是在哪里以及如何做出的。

private WebExpressionConfigAttribute findConfigAttribute(Collection<ConfigAttribute> attributes) {
    Iterator var2 = attributes.iterator();

    ConfigAttribute attribute;
    do {
        if (!var2.hasNext()) {
            return null;
        }

        attribute = (ConfigAttribute)var2.next();
    } while(!(attribute instanceof WebExpressionConfigAttribute));

    return (WebExpressionConfigAttribute)attribute;
}

因此，为了让它真正返回一个 configattribute 进行检查，它必须是 WebExpressionConfigAttribute 类型，因此永远不会出现这种情况

attributes.add(new SecurityConfig(attribute.trim()));

所以我修复它的方法是按以下方式创建我自己的 accessDecisionManager

public class MyAccessDecisionManager implements AccessDecisionManager {
@Override
public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
        throws AccessDeniedException, InsufficientAuthenticationException {
    if(configAttributes == null){
        return  ;
    }
    Iterator<ConfigAttribute> ite = configAttributes.iterator();
    while(ite.hasNext()){

        ConfigAttribute ca = ite.next();

        String needRole = ((SecurityConfig)ca).getAttribute();

        for(GrantedAuthority grantedAuthority : authentication.getAuthorities()){
            if(needRole.trim().equals(grantedAuthority.getAuthority().trim())){
                return;
            }
        }
    }
    throw new AccessDeniedException("Access is denied");
}

如上所述注册，现在使用我的自定义设置 accessdecisionManager

.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
        public <O extends FilterSecurityInterceptor> O postProcess(
                O fsi) {
            FilterInvocationSecurityMetadataSource newSource = new DbFilterInvocationSecurityMetadataSource();
            fsi.setSecurityMetadataSource(newSource);
            fsi.setAccessDecisionManager(new MyAccessDecisionManager());
            return fsi;
        }

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题的相关文章

Python Selenium：如何在文本文件中打印网站上的值？

我正在尝试编写一个脚本该脚本将从 tulsaspca org 网站获取以下 6 个值并将其打印在 txt 文件中最终输出应该是 905 4896 7105 23194 1004 42000 放置的动物的 HTML span class
如何防止用户控件表单在 C# 中处理键盘输入（箭头键）

我的用户控件包含其他可以选择的控件我想实现使用箭头键导航子控件的方法问题是家长控制拦截箭头键并使用它来滚动其视图什么是我想避免的事情我想自己解决控制内容的导航问题我如何控制由箭头键引起的标准行为提前致谢 MTH 这通常是通过重写
如何在发布期间复制未版本化的测试资源：执行？

我的问题与 Maven 在发布时不会复制未跟踪的资源 https stackoverflow com questions 10378708 maven doesnt copy untracked resources while releas
CFdump cfcomponent cfscript

可以在 cfcomponent 中使用 cfdump 吗可以在 cfscript 中使用 cfdump 吗我知道 anser 不是那么如何发出 insde cfcomponent 函数的值 cf脚本我用的是CF8 可以在 cfcom
如何在执行新操作时取消先前操作的执行？

我有一个动作创建器它会进行昂贵的计算并在每次用户输入内容时调度一个动作基本上是实时更新但是如果用户输入多个内容我不希望之前昂贵的计算完全运行理想情况下我希望能够取消执行先前的计算并只执行当前的计算没有内置功能可以取消Pro
如何从日期中查找该月的最后一天？

如何在 PHP 中获取该月的最后一天 Given a date 2009 11 23 我要2009 11 30 并给出 a date 2009 12 23 我要2009年12月31日 t返回给定日期所在月份的天数请参阅的文档date ht
Redis如何存储关联数组？设置、散列还是列表？

我对 Redis 的所有可用存储选项有点困惑我想做一些简单的事情并且不想过度设计它我正在与phpredis and Redis v2 8 6 我有一个需要存储的简单关联数组我还需要能够通过其键检索项目并循环遍历所有项目 a arra
PHPUnit 和 Zend Framework assertRedirectTo() 问题

我在创建的测试中遇到了 assertRedirectTo 问题下面是我使用的代码 public function testLoggedInIndexAction this gt dispatch this gt assertControl
如何使用asm.js进行测试和开发？

最近我读到asm js规范看起来很酷但是是否有任何环境工具来开发和测试这个工具这还只是处于规范阶段吗您可以尝试使用 emscripten 和 ASM JS 1 并从侧分支在 firefox 构建中运行它有关 asm js 的链接
从超立方体图像中获取文本的确切位置

使用 tesseract 中的 GetHOCRText 0 方法我能够检索 html 中的文本并在 webview 中呈现 html 时我能够获取文本但图像中文本的位置与输出不同任何想法都非常有帮助 tesseract gt Se
节拍匹配算法

我最近开始尝试创建一个移动应用程序 iOS Android 它将自动击败比赛 http en wikipedia org wiki Beatmatching http en wikipedia org wiki Beatmatching 两
Spring Boot @ConfigurationProperties 不从环境中检索属性

我正在使用 Spring Boot 1 2 1 并尝试创建一个 ConfigurationProperties带有验证的bean 如下所示 package com sampleapp import java net URL import j
对来自流读取器的过滤数据执行小计

编辑问题未得到解答我有一个基于 1 个标准的过滤输出前 3 个数字是 110 210 或 310 给出 3 个不同的组从流阅读器控制台问题已编辑因为第一个答案是我给出的具体示例的字面解决方案我使用的实际字符串长度为 450 个
用于验证目的的动态查找方法

我正在使用 Ruby on Rails 3 0 7 我想在运行时查找一些记录以进行验证但为该查找方法传递设置一个值也就是说在我的班级中我有以下内容 class Group lt lt ActiveRecord Base valid
neo4j - python 驱动程序，服务不可用

我对 neo4j 非常陌生我正在尝试建立从 python3 6 到 neo4j 的连接我已经安装了驱动程序并且刚刚开始执行第一步导入请求导入操作系统导入时间导入urllib 从 neo4j v1 导入 GraphDatabas
rspec 中的模拟方法链

有一系列方法可以获得user目的我试图模拟以下内容以返回user in my Factory Girl current user AuthorizeApiRequest call request headers result 我可以模拟该
如何将输入读取为数字？

这个问题的答案是社区努力 help privileges edit community wiki 编辑现有答案以改进这篇文章目前不接受新的答案或互动 Why are x and y下面的代码中使用字符串而不是整数注意在Python 2
NotImplementedError：无法将符号张量 (lstm_2/strided_slice:0) 转换为 numpy 数组。时间

张量流版本 2 3 1 numpy 版本 1 20 在代码下面 define model model Sequential model add LSTM 50 activation relu input shape n steps n fe
在 Nexus 7 2013 上更改方向时 CSS 媒体查询不起作用

我目前正在我的笔记本电脑台式电脑和 Nexus 7 2013 上测试 CSS 媒体查询除了 Nexus 7 之外它们在台式机和笔记本电脑上都运行良好当我更改方向时除非刷新页面否则样式不会应用例如以纵向模式握住设备时页面正常
强制 Listview 不重复使用视图（复选框）

我做了一个定制Listview 没有覆盖getView 方法 Listview 中的每个项目都具有以下布局联系布局 xml

随机推荐

如何使用jquery基于xy坐标而不是使用鼠标拖动来选择元素？

How to select elements based on XY coordinates and not with mouse drag with jquery jQuery 插件如下所示将选择部分位置 gt x 和 gt y
Ruby - net/http - 遵循重定向

我有一个 URL 并且正在使用 HTTP GET 将查询传递到页面最近的口味会发生什么在net http 是脚本没有超出 302 响应范围我尝试了几种不同的解决方案 HTTPClient net http Rest Client Pa
根据另一个数组对包含对象的数组进行排序[重复]

这个问题在这里已经有答案了可能的重复 JavaScript 根据另一个整数数组对数组进行排序 Javascript 基于另一个数组对数组进行排序如果我有一个像这样的数组 one four two 还有另一个像这样的数组 key one
使用 @synthesize 覆盖 Objective-C 中的属性访问器名称

我正在尝试查找有关如何使用 synthesize 覆盖 Objective C 中的属性名称的文档如果我有一个实例变量名称 foo 我想将其访问器写为 bar 做一些诸如 synthesize foo bar 给出编译时错误我认为你只是
Xamarin.Forms 应用程序中的 MasterDetailPage

是否可以创建类似的侧面菜单Xamarin Forms 我搜索一个小菜单修改 MasterPage 的尺寸宽度您可以更改宽度Master页面进入MasterDetailPageRenderer 首先创建一个BindablePropert
Angular 2 中的 base href 区分大小写

我已经为 Angular 2 应用程序设置了这样的基本引用如果我转到 localhost MyApp 一切正常但是如果我转到 localhost myapp 则无法识别该路由我如何告诉 Angular 将基本路由视为不区分大小写您
通过 Web GUI 进行的 GitLab CE 克隆项目：致命：无法访问...无法解析主机...因为密码包含字符“@”

我使用 GitLab CE 我通过导入 URL 初始化一个新的存储库 https username email protected group project git 我的密码中有一个特殊字符然后报错 Cloning into bare
Java i++操作说明[重复]

这个问题在这里已经有答案了可能的重复 a b 和 a b 以及 a 和 a 有什么区别 x x 之后的 x 是什么在 Test1 中 i 将其值增加 1 并返回旧值并将其增量值保留在 i 变量中但在 Test2 中 i 将其值增加
构建期间的模块依赖缓存问题

最近改用 Go 1 11 版本并尝试将我们的项目转换为使用新的模块系统但是我遇到了缓存系统的令人沮丧的问题到目前为止我已经运行过GOCACHE off因为过去不相关的问题但这不是模块的选项下面的命令日志基于使用 Homebrew
使用 JavaScript 获取字符串长度（以像素为单位）

假设我有字符串 Hello 这个字符串的长度显然是五个字符但是它的像素长度是多少 JavaScript 有没有一种简单的方法来确定这个长度我想到了一个解决方案必须向用户显示一个额外的 div 但这种方式看起来很老套且复杂从更大的角度
如何将 Outlook 2007 收件箱中定义的子文件夹中收到的电子邮件中附加的 Excel 文件保存到 Windows 上的文件夹中？

我需要将 Outlook 邮件中收到的 Excel 附件保存在收件箱中的特定子文件夹每日最终中并知道该子文件夹中的所有电子邮件都将包含该 Excel 附加文件我下面有一个使用 excel VBA 的示例但它不起作用所以请建议我
我们如何使用 API 访问特定的 Google Analytics 帐户数据？

我们正在开发一个网络应用程序允许客户创建和显示产品我们希望通过我们的 Google Analytics 分析帐户向客户提供有关其管理面板中的产品的指标不幸的是 GA API 文档没有说明如何执行此操作所有示例都基于 OAuth 2
通过单击文本字段来选择日期[重复]

这个问题在这里已经有答案了我试图通过单击文本字段来实现日期选择器我正在使用中提到的代码这个链接但我没有得到输出如果有人知道如何通过单击文本字段来显示日期选择器请为我提供一些解决方案提前致谢我看到您的链接并得到了解决方案因此请
jQTouch在AJAX页面加载时执行代码

当内容是静态时 a href nearme Click a 当内容是AJAX时 a href page html Click a 如何绑定 AJAX page html 加载后发生的事情这个问题与 jqtouch 有关它从常规锚标记发出
使用 Web 部署跳过 XML 文档文件

我正在尝试使用 Web Deploy 发布 NET Web 服务目前它在包中包含 XML 文档文件我在 Visual Studio 的项目属性的生成选项卡中取消选中 XML 文档文件这会阻止发布该 XML 文件但该项目引用了许
如何在 RabbitMQ 中设置重试次数？

我正在使用 RabbitMQ 并且有一个保存电子邮件消息的队列我的消费者服务使消息出队并尝试发送它们如果由于任何原因我的消费者无法发送消息我想重新排队消息以再次发送我意识到我可以执行 basicNack 并将重新排队标志设置为 tr
Android SDK 管理器的 GUI 消失了吗？

我很少为 Android 做一些事情所以我有点困惑以前有两种类型的安装 Android Studio 和 Android SDK 我有IDEA 所以不需要Studio 通常我会下载带有 UI 工具来下载其组件的 SDK 我刚得到http
cakephp 模型验证错误消息未显示在 hasOne 关联中

我想要做model验证与association以单一形式我有两张桌子users 父表和user details 子表现在模型验证仅适用于用户表我也希望它适用于 userDetails 表它们之间的关系是hasOne 验证仅适用于用
CSS 2.1 规范：不折叠父级边距的基本原理（当父级是浮动的或具有除可见之外的溢出时）

The CSS 2 1 规范第 8 3 1 节在折叠边距上指出建立新块格式化上下文的元素的边距例如因为浮动和带有可见以外的溢出的元素不会与他们流入的孩子一起崩溃我花了一段时间才意识到块格式化上下文是由父母建立并应用于
Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题

简而言之我正在尝试实现一个自定义 FilterInitationSecurityMetadataSource 以便使用 spring security 5 0 6 和 Spring Boot 2 0 3 在我的 Web 应用程序中动态保护

Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题

Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题 的相关文章

随机推荐

热门标签

Spring security 自定义 FilterInitationSecurityMetadataSource 实现 403 禁止问题的相关文章