Thymeleaf安全无法正常工作(spring boot)
有的安全措施起作用,有的不起作用。
如果我的html文件中包含以下内容:
<security:authorize access="hasAnyRole('BREEDER')">Tenyésztő</security:authorize>
<div sec:authorize="hasRole('ROLE_USER')">Text visible to user.</div>
<div sec:authorize="hasRole('ROLE_BREEDER')">Text visible to breeders.</div>
<div sec:authorize="hasRole('BREEDER')">Text visible to breeders2.</div>
<div sec:authorize="isAuthenticated()">Text visible only to
authenticated users.</div>
Authenticated username: <div sec:authentication="name"></div>
Authenticated user roles: <div sec:authentication="principal.authorities"></div>
<div class="row" th:if="${#request.isUserInRole('ROLE_BREEDER')}">
<h2>This will only be displayed if authenticated user has role
ROLE_BREEDER.</h2>
</div>
<div class="row" sec:authorize="hasRole('ROLE_USER')">
<div class="col-md-10 col-md-offset-2">
<h2>User Has Role User</h2>
</div>
</div>
<div class="row" sec:authorize="hasAuthority('USER')">
<div class="col-md-10 col-md-offset-2">
<h2>User Has Authority User</h2>
</div>
</div>
结果是:
tenyészt(->但它不起作用,因为每个人都可以一直看到它)
文本仅对经过身份验证的用户可见。(->按预期工作)
通过身份验证的用户名:xxxxxxxxx@gmail.com(->有效)
通过身份验证的用户角色:[BREEDER,user](->正确)
正如你所看到的,其他人根本没有出现。
html标记如下所示:
<html lang="hu" layout:decorator="layouts/newslayout"
xmlns="http://www.w3.org/1999/xhtml"
xmlns:th="http://www.thymeleaf.org"
xmlns:layout="http://www.ultraq.net.nz/thymeleaf/layout"
xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
我的pom.xml具有以下依赖关系:
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
我的SecurityConfig如下所示:
package hu.gamf.sz.config;
import java.util.concurrent.TimeUnit;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableGlobalMethodSecurity(securedEnabled=true)
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private final BCryptPasswordEncoder bCryptPasswordEncoder;
@Autowired
public SecurityConfig(BCryptPasswordEncoder bCryptPasswordEncoder) {
this.bCryptPasswordEncoder = bCryptPasswordEncoder;
}
@Bean
public UserDetailsService userDetailsService() {
return super.userDetailsService();
}
@Autowired
private UserDetailsService userService;
@Autowired
public void configureAuth(AuthenticationManagerBuilder auth) throws Exception{
auth.userDetailsService(userService);
}
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService).passwordEncoder(bCryptPasswordEncoder);
}
@Autowired
public void configurationAuth(AuthenticationManagerBuilder auth) throws Exception{
auth
.inMemoryAuthentication()
.withUser("user")
.password("{noop}user")
.roles("USER")
.and()
.withUser("admin")
.password("{noop}admin")
.roles("ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
//.antMatchers(HttpMethod.GET,"/").permitAll()
.antMatchers("/css/**").permitAll()
.antMatchers("/login").permitAll()
.antMatchers("/registration").permitAll()
.antMatchers("/activation/**").permitAll()
.antMatchers("/reg").permitAll()
.antMatchers("/layouts/**").permitAll()
.antMatchers("/images/**").permitAll()
.antMatchers("/forgot").permitAll()
.antMatchers("/reset").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.rememberMe()
.tokenValiditySeconds((int) TimeUnit.DAYS.toSeconds(30))
.key("CrX3bXKSQzZ6aJCR")
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.permitAll();
}
}
所以基本上只要和角色没有任何关系,一切都是正常的。如果它是基于角色的,那么它要么对每个人都显示出来,要么根本不显示出来。
我希望我包括了每一个相关的细节,如果没有,请告诉我,我会编辑这个帖子。
共有1个答案
我认为如果您使用spring安全4+尝试在HasanyAuthority中使用HasanyAuthority和HasanyRole之间的差异,请参阅本文
您还可以查看此存储库,了解如何使用HasanyAuthority和HasRole
-
问题内容: 因此,我的设置无法按我想要的方式工作。因此,每当我运行该程序时,它就会立即从0变为100。我尝试使用,任务,并尝试了,但没有任何尝试。 这是我的程序: @MadProgrammer这是我尝试做一名摆动工作人员并将每个名称写入文档并更新进度栏的尝试。该程序将达到86%左右并停止运行,永远不会创建完成的文档。该程序将创建一个空白文档。这是我首先创建的SwingWorker对象,这是两种方法
-
问题内容: 我在JLayeredpane上有两个JPanels。其中一个显示pdf,重叠的一个具有透明背景(我使用过setOpaque(false))。现在,我可以将图形添加到透明面板中,这样看来我实际上是在注释pdf。我想要一个橡皮擦工具来删除这些注释。我尝试使用以下代码 其中path是由多条线构成的形状。现在,不是在先前的图形上绘制 透明线 ,而是绘制 黑线 。我要去哪里错了? 问题答案: 请
-
问题内容: 这看起来有效,但无法正常工作。我希望菜单悬停时’huh’div不透明。我尝试了淡入/淡出效果,但效果很好,但只有一次很奇怪。 问题答案: 不带点使用:
-
问题内容: 我正在编辑从tesseract ocr获得的一些电子邮件。 这是我的代码: 但是输出不正确。 输入: 输出: 但是,当我在每次替换后将结果分配给新的String时,它都能正常工作。为什么在同一字符串中连续分配不起作用? 问题答案: 您将在Javadoc中的String.replaceAll()中注意到,第一个参数是正则表达式。 句点()和管道()以及花括号()都有特殊的含义。您需要对它
-
问题内容: 我正在编写3D绘画,但在Java中发现了问题。在代码的一部分中,它起作用了: 在另一种情况下,它不起作用: 你能告诉我如何使它工作吗?谢谢在我问之前,是的,它确实执行了那部分代码。 编辑: 哦,现在工作正常,谢谢 问题答案: 代替:
-
问题内容: array_key_exists不适用于大型多维数组。对于前 array_key_exists(’test’,$ arr)返回’false’,但它可以与一些简单的数组一起使用。 问题答案: array_key_exists不能递归工作(正如MattiVirkkunen指出的那样)。看一下PHP手册,可以使用以下代码来执行递归搜索: