任何用户的 jdbc-authentication 访问被拒绝 [OAUTH2]

Posted

技术标签:

【中文标题】任何用户的 jdbc-authentication 访问被拒绝 [OAUTH2]【英文标题】:Access denied on jdbc-authentication with any user [OAUTH2] 【发布时间】:2017-08-20 03:06:10 【问题描述】:

我的 Spring-Boot 应用程序中有一个带有 oauth2-authorization 的 jdbc-authentication。 这是我的 jdbc-authentication 代码:

auth.jdbcAuthentication().dataSource(dataSource)
      .usersByUsernameQuery(
       "select username, password, 1 from users where username = ?") 
      .authoritiesByUsernameQuery(
       "select u.username, r.name from users u, roles r, role_users ru "
       + "where u.username = ? and u.id =  ru.users_id  and ru.roles_id = r.id "); 

我的授权配置如下:

http.
    anonymous().disable()
    .requestMatchers().antMatchers("/api/v1/users/**")
    .and().authorizeRequests()
    .antMatchers("/api/v1/users/**").access("hasRole('ADMIN')")
    .and().exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());

现在,当我对数据库中的用户进行身份验证时,一切正常。我使用具有角色 "ADMIN" 的用户进行身份验证,因此我认为它应该允许我访问 /api/v1/users/** 资源。

但我得到的只是access_denied 错误。我究竟做错了什么?如果您需要查看更多代码 sn-ps,请告诉我。感谢您的所有帮助。

【问题讨论】:

【参考方案1】:

不是大专家,但我从未使用过 access(...)

方法

您是否尝试过使用 hasRole ?

类似

.antMatchers("/api/v1/users/**").hasRole("ADMIN")

【讨论】:

您的情况似乎与此类似:dzone.com/articles/… 看看 httpsecurity 配置,甚至规则的顺序也很重要(如此处所述***.com/questions/30819337/…) 不知何故 /api/v1/users/** 端点不起作用。我将其更改为/api/v1/users,现在已授予访问权限。但不幸的是,所有用户(也包括那些没有“ADMIN”角色的用户)。

以上是关于任何用户的 jdbc-authentication 访问被拒绝 [OAUTH2]的主要内容,如果未能解决你的问题,请参考以下文章

编写 IAM 策略,其中任何具有 EC2 完全访问权限的用户都不能删除 AWS 账户中任何其他用户的实例

Drupal搜索没有为匿名用户产生任何结果[关闭]

如何让任何视图知道用户角色(ASP.NET MVC 身份)已更改,以强制任何用户在浏览时注销?

是否可以让没有任何角色的用户看到主页?

如何检查用户是不是有任何角色 discord.js

检查用户是不是具有任何列出的所需权限