Spring Security 中仅使用自定义 UserDetailsS​​ervice 禁止 403 [重复]

Posted

技术标签:

【中文标题】Spring Security 中仅使用自定义 UserDetailsS​​ervice 禁止 403 [重复]【英文标题】:403 forbidden in Spring Security with Custom UserDetailsService only [duplicate] 【发布时间】:2021-10-01 03:11:10 【问题描述】:

我在 Spring Security 的 Spring Boot 项目中有以下文件。当我使用 inMemoryAuthentication 时它可以工作,但是当我使用自定义 UserDetailsS​​ervice 时它不起作用。自定义 UserDetailsS​​ervice 类被调用,但它仍然给出 403(当我尝试访问 /user 时),但它适用于打开的 url (/usr)。

import org.springframework.security.core.userdetails.User

@Service
public class UserDetailsServiceImpl implements UserDetailsService 

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException 

        //not using parameter which is being passed as trying to figure out the problem first.

        UserDetails user = User.withUsername("abc").password("abc").authorities("ADMIN").build();
        return user;
        
    



@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter 

    @Autowired
    UserDetailsServiceImpl userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        auth.userDetailsService(userDetailsService).passwordEncoder(getPasswordEncoder());
//      auth.inMemoryAuthentication().withUser("abc").password("abc").roles("ADMIN");
    

    @Bean
    public PasswordEncoder getPasswordEncoder() 
        return NoOpPasswordEncoder.getInstance();
    

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http.authorizeRequests()
        .antMatchers("/api/user").hasRole("ADMIN")
        .antMatchers("/").permitAll()
        .and().formLogin();
    



@RestController
@RequestMapping("/api")
public class UserController 

    @GetMapping("/usr")
    public ResponseEntity<String> getOpenResponse() 
        return ResponseEntity.ok("You are accessing open url");
    

    @GetMapping("/user")
    public ResponseEntity<String> getSecuredResponse() 
        return ResponseEntity.ok("You are accessing secured path");

我在这里做错了什么?我错过了什么吗?

【问题讨论】:

【参考方案1】:

问题就在这里:

UserDetails user = User.withUsername("abc").password("abc").authorities("ADMIN").build();

您将用户的权限设置为"ADMIN",但在SecurityConfig 类中,您希望用户具有角色 "ADMIN",实际上,这是获得以下权限的快捷方式"ROLE_ADMIN"

http.authorizeRequests()
    .antMatchers("/api/user").hasRole("ADMIN")

要解决这个问题,你应该定义用户的角色:

User.withUsername("abc").password("abc").roles("ADMIN")

【讨论】:

以上是关于Spring Security 中仅使用自定义 UserDetailsS​​ervice 禁止 403 [重复]的主要内容,如果未能解决你的问题,请参考以下文章

在 Spring Security 中仅使用用户名登录

是否可以在 Spring Security 中仅使用刷新令牌请求访问令牌 oauth2?没有基本身份验证?

如何允许用户在 Spring Boot / Spring Security 中仅访问自己的数据?

spring security使用和原理简析

四Spring Security使用自定义认证页面

四Spring Security使用自定义认证页面