Spring security zabezpieczanie endpointów

Odpowiedz Nowy wątek
2020-03-22 00:59

Rejestracja: 3 lata temu

Ostatnio: 16 godzin temu

0

Wtiam

Mam problem z konfiguracją spring security. Chodzi o end-pointy z odpowiednimi rolami. Nie mogę uzyskać efektu zabezpieczenia w zależności od roli usera.

Konfiguracja security 'extends WebSecurityConfigurerAdapter'

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http
            .cors()
            .and()
            .csrf()
            .disable()
            .authorizeRequests()
            .antMatchers("/",
                    "/favicon.ico",
                    "/**/*.png",
                    "/**/*.gif",
                    "/**/*.svg",
                    "/**/*.jpg",
                    "/**/*.html",
                    "/**/*.css",
                    "/**/*.js",
                    "/h2-console/**",
                    "/api/auth/login",
                    "/**/**")
            .permitAll()
            .antMatchers("admin/**").hasRole("ADMIN")
            .antMatchers("/student/**").hasRole("USER")
            .anyRequest().authenticated();
    }

Ale jak dodam '@PreAuthorize("hasRole('ADMIN')")' przy end-poincie to wszystko śmiga.

Czy ktoś mógł by mi wytłumaczyć jak to dokładnie działa?

Pozostało 580 znaków

2020-03-22 03:57

Rejestracja: 6 lat temu

Ostatnio: 10 godzin temu

0
  1. Sprawdź czy Spring poprawnie widzi twoją konfigurację.
  2. Sprawdź czy role są poprawnie przypisane użytkownikom, dla .hasRole("ADMIN") wartością powinno być ROLE_ADMIN.
  3. Pliki statyczne .js .css itd. można zignorować zamiast pisać im osobne reguły.

Pozostało 580 znaków

2020-03-22 16:25

Rejestracja: 3 lata temu

Ostatnio: 16 godzin temu

0
  1. Nie wiem czy dokładnie to miałeś na myśli ale debugerem wchodzi mi do metody.
  2. Tak w bazie danych posiadam role typu "'ROLE_' + typ".
  3. Sprawdzę jak uda mi się rozwiązać mój obecny problem.

Jakieś inne pomysły?

Pozostało 580 znaków

2020-03-23 09:35

Rejestracja: 4 lata temu

Ostatnio: 2 minuty temu

0
vakil napisał(a):
        .antMatchers("admin/**").hasRole("ADMIN")

Zapomniałeś slasha na początku ;)

No i nie wiem jak ze sobą pożenić to, że dajesz .permitAll() na "/**/**"... Może lepiej usuń akurat te gwiazdki.

edytowany 1x, ostatnio: Pinek, 2020-03-23 09:37

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0