Spring Security 中访问始终被拒绝 - DenyAllPermissionEvaluator

2024-03-04

我已经在 Spring Boot 应用程序中配置了 ACL。 ACL配置如下：

@Configuration
@ComponentScan(basePackages = "com.company")
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class ACLConfigration extends GlobalMethodSecurityConfiguration {

    @Autowired
    DataSource dataSource;

    @Bean
    public EhCacheBasedAclCache aclCache() {
        return new EhCacheBasedAclCache(aclEhCacheFactoryBean().getObject(), permissionGrantingStrategy(), aclAuthorizationStrategy());
    }

    @Bean
    public EhCacheFactoryBean aclEhCacheFactoryBean() {
        EhCacheFactoryBean ehCacheFactoryBean = new EhCacheFactoryBean();
        ehCacheFactoryBean.setCacheManager(aclCacheManager().getObject());
        ehCacheFactoryBean.setCacheName("aclCache");
        return ehCacheFactoryBean;
    }

    @Bean
    public EhCacheManagerFactoryBean aclCacheManager() {
        return new EhCacheManagerFactoryBean();
    }

    @Bean
    public DefaultPermissionGrantingStrategy permissionGrantingStrategy() {
        ConsoleAuditLogger consoleAuditLogger = new ConsoleAuditLogger();
        return new DefaultPermissionGrantingStrategy(consoleAuditLogger);
    }

    @Bean
    public AclAuthorizationStrategy aclAuthorizationStrategy() {
        return new AclAuthorizationStrategyImpl(new SimpleGrantedAuthority("ROLE_ACL_ADMIN"));
    }

    @Bean
    public LookupStrategy lookupStrategy() {
        return new BasicLookupStrategy(dataSource, aclCache(), aclAuthorizationStrategy(), new ConsoleAuditLogger());
    }

    @Bean
    public JdbcMutableAclService aclService() {
        return new JdbcMutableAclService(dataSource, lookupStrategy(), aclCache());
    }

    @Bean
    public DefaultMethodSecurityExpressionHandler defaultMethodSecurityExpressionHandler() {
        return new DefaultMethodSecurityExpressionHandler();
    }

    @Override
    public MethodSecurityExpressionHandler createExpressionHandler() {
        DefaultMethodSecurityExpressionHandler expressionHandler = defaultMethodSecurityExpressionHandler();
        expressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService()));
        expressionHandler.setPermissionCacheOptimizer(new AclPermissionCacheOptimizer(aclService()));
        return expressionHandler;
    }
}

参考：

SO Q1 https://stackoverflow.com/questions/38609874/acl-security-in-spring-boot
SO Q2 https://stackoverflow.com/questions/26292431/how-to-configure-spring-acl-without-xml-file

安全配置如下：

@Configuration
@EnableWebSecurity
public class CustomSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Bean
    public AuthenticationEntryPoint entryPoint() {
        return new LoginUrlAuthenticationEntryPoint("/authenticate");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                .csrf()
                .disable()
                .authorizeRequests()
                .antMatchers("/authenticate/**").permitAll()
                .anyRequest().fullyAuthenticated()
                .and().requestCache().requestCache(new NullRequestCache())
                .and().addFilterBefore(authenticationFilter(), CustomUsernamePasswordAuthenticationFilter.class);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
    }

    @Bean
    public CustomUsernamePasswordAuthenticationFilter authenticationFilter()
            throws Exception {
        CustomUsernamePasswordAuthenticationFilter authenticationFilter = new CustomUsernamePasswordAuthenticationFilter();
        authenticationFilter.setUsernameParameter("username");
        authenticationFilter.setPasswordParameter("password");
        authenticationFilter.setFilterProcessesUrl("/authenticate");
        authenticationFilter.setAuthenticationSuccessHandler(new CustomAuthenticationSuccessHandler());
        authenticationFilter.setAuthenticationFailureHandler(new CustomAuthenticationFailureHandler());
        authenticationFilter.setAuthenticationManager(authenticationManagerBean());
        return authenticationFilter;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

My CustomAuthenticationProvider class:

@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UsersService usersService;

    @Override
    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {

        String username = authentication.getName();
        String password = authentication.getCredentials().toString();

        User user = usersService.findOne(username);

        if(user != null && usersService.comparePassword(user, password)){

            return new UsernamePasswordAuthenticationToken(
                    user.getUsername(),
                    user.getPassword(),
                    AuthorityUtils.commaSeparatedStringToAuthorityList(
                            user.getUserRoles().stream().collect(Collectors.joining(","))));
        } else {
            return null;
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

这是我的CustomUsernamePasswordAuthenticationToken:

public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {

        if(!request.getMethod().equals("POST"))
            throw new AuthenticationServiceException(String.format("Authentication method not supported: %s", request.getMethod()));

        try {

            CustomUsernamePasswordAuthenticationForm form = new ObjectMapper().readValue(request.getReader(), CustomUsernamePasswordAuthenticationForm.class);

            String username = form.getUsername();
            String password = form.getPassword();

            if(username == null)
                username = "";

            if(password == null)
                password = "";

            UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);

            setDetails(request, token);

            return getAuthenticationManager().authenticate(token);

        } catch (IOException exception) {
            throw new CustomAuthenticationException(exception);
        }
    }

    private class CustomAuthenticationException extends RuntimeException {
        private CustomAuthenticationException(Throwable throwable) {
            super(throwable);
        }
    }
}

除了以上这些，我还有CustomAuthenticationFailureHandler, CustomAuthenticationSuccessHandler, CustomNoRedirectStrategy and CustomUsernamePasswordAuthenticationForm由于这个问题的长度，我跳过了这个问题。

我正在使用可以找到的 MySQL 架构here http://docs.spring.io/spring-security/site/docs/current/reference/html/appendix-schema.html#persistent-login-remember-me-schema.

我将条目添加到我的 acl 相关表中，如下所示：

INSERT INTO acl_class VALUES (1, com.company.project.domain.users.User)
INSERT INTO acl_sid VALUES (1, 1, "demo")

（我有一个用户名demo)

INSERT INTO acl_object_identity VALUES (1, 1, 1, NULL, 1, 0)
INSERT INTO acl_entry VALUES (1, 1, 1, 1, 1, 1, 1, 1)

但我得到的只是：

Denying user demo permission 'READ' on object com.company.project.domain.users.User@4a49e9b4

in my

@PostFilter("hasPermission(filterObject, 'READ')")

我在这里怀疑几个问题：

The hasPermission表达式：我已将其替换为“READ”和“1”，但没有任何程度的替换。
我的数据库条目不正确
我没有实现自定义权限评估器。这是必需的，还是expressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService())); enough?

Update

示例方法其中@PostFilter用来：

@RequestMapping(method = RequestMethod.GET)
    @PostFilter("hasPermission(filterObject, 'READ')")
    List<User> find(@Min(0) @RequestParam(value = "limit", required = false, defaultValue = "10") Integer limit,
                    @Min(0) @RequestParam(value = "page", required = false, defaultValue = "0") Integer page,
                    @RequestParam(value = "email", required = false) String email,
                    @RequestParam(value = "firstName", required = false) String firstName,
                    @RequestParam(value = "lastName", required = false) String lastName,
                    @RequestParam(value = "userRole", required = false) String userRole) {

        return usersService.find(
                limit,
                page,
                email,
                firstName,
                lastName,
                userRole);
    }

更新#2：

现在的问题反映了有关身份验证/授权/ACL 的所有设置。

更新#3：

我现在非常接近解决这个问题，唯一剩下的就是解决这个问题：

https://stackoverflow.com/questions/42996579/custom-permissionevaluator-not-used-although-set-as-permissionevaluator-deny https://stackoverflow.com/questions/42996579/custom-permissionevaluator-not-called-although-set-as-permissionevaluator-deny

如果有人可以帮助我解决这个问题，我终于可以写下我为解决这个问题所经历的事情。

我升级了我的应用程序以使用 Spring Security 4.2.1.RELEASE 然后我开始遇到意外的访问被拒绝的情况@PreAuthorize带注释的方法，在升级之前工作得很好。我调试了 spring 安全代码，我意识到问题是所有要检查的角色都以默认字符串“ROLE_”为前缀，不管我已将默认前缀设置为空，如下面的代码所示。

auth.ldapAuthentication()
        .groupSearchBase(ldapProperties.getProperty("groupSearchBase"))
        .groupRoleAttribute(ldapProperties.getProperty("groupRoleAttribute"))
        .groupSearchFilter(ldapProperties.getProperty("groupSearchFilter"))

        //this call used to be plenty to override the default prefix
        .rolePrefix("")

        .userSearchBase(ldapProperties.getProperty("userSearchBase"))
        .userSearchFilter(ldapProperties.getProperty("userSearchFilter"))
        .contextSource(this.ldapContextSource);

我所有的控制器方法都注释有@PreAuthorize("hasRole('my_ldap_group_name')")，但是，框架没有考虑我的空角色前缀设置，因此它使用ROLE_my_ldap_group_name检查实际角色。

在深入研究框架的代码后，我意识到该类org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler仍然将默认角色前缀设置为"ROLE_"。我跟踪它的值的来源，发现它首先检查该类的一个已声明的beanorg.springframework.security.config.core.GrantedAuthorityDefaults在 bean 的第一次初始化期间查找默认前缀org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer但是，由于此初始化程序 bean 无法找到它声明的内容，因此它最终使用了前面提到的默认前缀。

我相信这不是预期的行为：Spring Security 应该考虑与 ldapAuthentication 相同的 rolePrefix，但是，为了解决这个问题，有必要添加 beanorg.springframework.security.config.core.GrantedAuthorityDefaults到我的应用程序上下文（我正在使用基于注释的配置），如下所示：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class CesSecurityConfiguration extends WebSecurityConfigurerAdapter {

    private static final String ROLE_PREFIX = "";
    //... ommited code ...
    @Bean
    public GrantedAuthorityDefaults grantedAuthorityDefaults() {
        return new GrantedAuthorityDefaults(ROLE_PREFIX);
    }

}

也许你遇到了同样的问题 - 我可以看到你正在使用 DefaultMethodSecurityExpressionHandler 并且它还使用 bean GrantedAuthorityDefaults，所以如果你使用与我相同的 Spring Security 版本 - 4.2.1.RELEASE 你可能会遇到同样的问题。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring Security 中访问始终被拒绝 - DenyAllPermissionEvaluator 的相关文章

在哪里可以获得有关 Java FitNesse 和 Slim 的一些教程？ [关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
Java、Oracle 中索引处缺少 IN 或 OUT 参数:: 1 错误

您好我使用 Netbeans 8 0 2 和 Oracle 11g Express Edition 在 JSF 2 2 中编写了一个图书馆管理系统我有几个名为书籍借阅者等的页面以及数据库中一些名为相同名称的表我的问题是这样的
Junit maven构建错误（maven-surefire-plugin：2.19.1：测试失败：分叉进程中出现错误）[重复]

这个问题在这里已经有答案了我通过引用创建了一个示例 struts 2 项目和 J unit 测试用例link http self learning java tutorial blogspot com au 2015 04 struts2
spring data mongodb中如何实现聚合分页

spring data mongodb中使用mongotemplate或者mongorepository 如何实现聚合的分页这是对旧帖子的答案但我会提供答案以防其他人在搜索类似内容时出现建立在之前的基础上F rat K K 的解决方
Java 正则表达式 - 字母数字，最多一个连字符，句点或下划线，七个字符长

我是 Java 正则表达式工具的新手尽管它们潜力巨大但我很难完成这项任务我想编写一个正则表达式来验证遵循以下语法的输入字符串小写字母和数字的任意组合仅一个下划线一个破折号或一个句号无其他特殊字符最小长度为 5 我想出了以下解
RMI 中的引用传递问题？ [复制]

这个问题在这里已经有答案了有人可以告诉我我错在哪里为什么这个 RMI 聊天应用程序不起作用目标是通过远程对象或序列化对象实现客户端服务器和逻辑之间的解耦 import javax swing import java awt even
java.lang.LinkageError：尝试重复的类定义

为什么会发生错误以及如何修复它 02 13 02 pool 4 thread 2 WARN Exception in thread pool 4 thread 2 02 13 02 pool 4 thread 2 WARN java lan
有多少种方法可以将位图转换为字符串，反之亦然？

在我的应用程序中我想以字符串的形式将位图图像发送到服务器我想知道有多少种方法可以将位图转换为字符串现在我使用 Base64 格式进行编码和解码它需要更多的内存是否有其他可能性以不同的方式做同样的事情从而消耗更少的内存现在我正在
JFace ColumnWeigthData 导致父级增长

我有一个 Eclipse RCP 应用程序并且想要在TableViewer using ColumnWeigthData as ColumnLayoutData 问题是父表单 ScrolledForm在示例代码中每当我布局表格时都会增加
添加 spring-security-oauth2 后无法实例化接口 org.springframework.context.ApplicationListener

我添加后spring security oauth2到我的 pom xml
异步迭代器

我有以下代码 while slowIterator hasNext performLengthTask slowIterator next 由于迭代器和任务都很慢因此将它们放入单独的线程中是有意义的这是对迭代器包装器的快速而肮脏的尝试
Java：java.util.ConcurrentModificationException

我正在制作 2D 目前正在研究用子弹射击子弹是一个单独的类所有项目符号都存储在称为项目符号的数组列表中当它超出屏幕一侧 Exception in thread main java util ConcurrentModification
JavaFX - 为什么多次将节点添加到窗格或不同的窗格会导致错误？

我现在正在学习基本的 JavaFX 我不明白我正在阅读的书中的这一说法不诸如文本字段之类的节点只能添加到一个窗格中一次将节点添加到多次窗格或不同的窗格将导致运行时错误我可以从书中提供的UML图看出它是一个组合但我不明白为什么库类
Android Gradle 同步失败：无法解析配置“：classpath”的所有工件

错误如下 Caused by org gradle api internal artifacts ivyservice DefaultLenientConfiguration ArtifactResolveException Could n
了解 Spark 中的 DAG

问题是我有以下 DAG 我认为当需要洗牌时火花将工作划分为不同的阶段考虑阶段 0 和阶段 1 有些操作不需要洗牌那么为什么 Spark 将它们分成不同的阶段呢我认为跨分区的实际数据移动应该发生在第 2 阶段因为这里我们需要cogr
使用 secp256r1 曲线和 SHA256 算法生成 ECDSA 签名 - BouncyCastle

我正在尝试使用带有 secp256r1 曲线 P256 的 ECDSA 和用于消息哈希的 SHA256 算法生成签名我也在使用 Bouncy Castle 库下面的代码 public class MyTest param args pu
Java：由 HTTP 连接创建的等待连接线程存活时间很长

我有一个服务器端代码用于检查 SOAP 服务是否已启动代码如下 String response while response length 0 try final URL url new URL DummySoapServiceURL
使用 JAD 反编译 java - 限制

我正在尝试使用 Java 中的 JAD 反编译几个 jar 文件我也尝试过 JD GUI 但运气更差但出现了很多错误一种类型易于修复似乎是内部类但我也发现了这段代码 static int SWITCH TABLE atp com
公共方法与公共 API

在干净的代码书中有一个观点是公共 API 中的 Javadocs 同样 Effective java 一书也有这样的内容项目 56 为所有公开的 API 元素编写文档注释所以这就是我的问题所有公共方法都被视为公共 API 吗它们
摩尔斯电码至英语

我现在的问题是让摩尔斯电码转英语正常工作将英语转换为莫尔斯电码的第一部分工作正常我知道以前已经有人问过这个问题但我不知道我做错了什么我知道我需要在某个地方进行拆分但我只是不确定将其放在代码中的何处现在莫尔斯电码到英语的部分

随机推荐

在 bash 中循环文本文件的每一行

文本如下所示 428 http www youtube com watch v aqlJl1LfDP4 NEW YORK NEW YORK FRANK SINATRA YouTube moc ebutuoy www 1 0 0 20 96
获取 - LMC 指令的执行周期

我必须为每个小人计算机指令 ADD SUB BR BRP 等定义步骤并且我在分支指令和 COB 或停止指令方面遇到问题我理解每条指令开头的获取部分电脑 gt 三月多重耐药 gt 红外但我不确定在执行部分添加什么才能使指令真正正
在 Jenkins 中发布 Karma 单元测试

Jenkins http jenkins ci org 已经构建了我的 Maven Java 项目我想要的结果karma http karma runner github io 单元测试显示在 Jenkins 中但不幸的是我无法在 Je
在未安装 Qt 的计算机上运行 Qt 应用程序。 QCamera 没有看到可用的设备

我正在开发一个网络 GUI 应用程序在另一台未安装 Qt 的计算机上测试应用程序但是当我启动应用程序时 QCamera 可用设备 http qt project org doc qt 5 0 qtmultimedia qcamera h
GridView 中的随机图像

我想知道 GridView 中是否有随机图像下面的代码对我来说效果很好但启动活动时 GridView 中的图像不是随机的我应该修改以下代码以使其随机 Layout
如何使用sorted-map-by按值对地图进行排序？

我根本无法理解文档我想要一个排序的地图 xxx 它根据值对地图进行排序我怎么做 Thanks 另一种方法是在比较器函数中比较原始映射的值 def my map chad 3 bob 5 sammy 4 sort by keys asce
Play 应用程序中使用的 SBT 覆盖范围“排除”

我在 Play 应用程序中使用了 sbt scoverage 我使用以下配置来排除反向和路由生成的文件 coverageExcludedPackages Reverse Routes 但是这只能排除生成的 Reverse scala 文件
kubectl 推出状态后获取新 pod 名称之一 | kubectl get pods --field-selector 返回终止 pod

问题是在部署新部署后 kubectl apply f deployment yml 假设使用一个副本进行部署 Kubernetes 将创建第二个 pod 并关闭前一个 pod 到目前为止一切正常但是在 kubectl apply 之后我
如何飞往react-leaflet中的某个位置

所以我对反应和传单真的很陌生但我想做的基本上就是让用户输入一些输入然后按回车键后触发一个事件然后该事件飞到从该输入生成的坐标我正在使用地理编码经纬度坐标已成功生成但是我不知道如何使地图飞到那个位置这是我到目前为止所拥有的 i
docker-compose：为什么代理和应用程序服务因主机名而失败？

以下是 v2 规范中工作的 docker compose 文件 version 2 volumes webroot driver local services app Launch uwsgi application server buil
Dialogflow 响应时间限制可以修改吗？

我正在使用网络钩子在对话流上制作一个机器人我收到错误 DEADLINE EXCEEDED 我的 webhook 需要 5 秒多一点的时间才能返回响应有没有办法让时间超过5秒这不可能一种可能性是例如如果您有一个需要一些时间的后台任
点击按钮后文本会恢复

我有一个按钮在整个程序中他可以更改自己的名字原名线然后重命名为 bar 当被命名为 bar 并且我按下它时它会执行以下代码代码中是变量 bt3 UIView animateWithDuration 1 delay 0 optio
bash 获取末尾有 exit 命令的文件

cat gt file1 sh lt lt EOF FILE1 echo before source source file2 sh echo after source func1 EOF FILE1 cat gt file2 sh lt
Python 3 整数地址[重复]

这个问题在这里已经有答案了 x 300 y 300 print id x id y a 300 300 print id a 0 id a 1 在执行上面的代码时我得到不同的地址x and y但相同的地址a 0 and a 1 谁能告诉我
如何在Visual Studio 2010中分析程序的内存使用情况？

有没有办法检查 VS 2010 中编码的程序中分配了哪些内存我注意到我最近制作的一个程序随着时间的推移不断使用越来越多的内存而不释放任何内存另外有没有关于代码设计的文章可以教您良好的内存管理我似乎在谷歌上搜索了错误的术语因为我不断
如何获取 Google 文档图像的 url

我有一个 Google 文档其中包含一张图像我找到了图像objectId如这里所述https developers google com docs api reference rest v1 InlineObject https dev
如何在一个突变中创建嵌套节点？

嗨我正在尝试在我的上写入数据https www graph cool https www graph cool 带有突变的 db 我的项目是一个 React Web 应用程序我使用 Apollo 作为 graphql 客户端使用 gr
使用 PHP 从目录读取文件哪个更好 - glob() 或 scandir() 或 readdir()？ [关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案我是 PHP 初学者我想从特定文件夹目录读取文件我不想在其中包含子文件夹或文件我只想列出目录内的直接文件我最终得到了 3 个解决方案
调试 mod_php 中的内存使用情况

我有一个在 apache mod php 中运行的请求处理程序它偶尔会超出允许的最大内存使用量即 php ini 中的 memory limit 定义处理此请求会调用 proc open 来运行外部命令这些命令的内存使用量是否针对
Spring Security 中访问始终被拒绝 - DenyAllPermissionEvaluator

我已经在 Spring Boot 应用程序中配置了 ACL ACL配置如下 Configuration ComponentScan basePackages com company EnableGlobalMethodSecurity pr

Spring Security 中访问始终被拒绝 - DenyAllPermissionEvaluator

Spring Security 中访问始终被拒绝 - DenyAllPermissionEvaluator 的相关文章

随机推荐

热门标签