代码之家  ›  专栏  ›  技术社区  ›  Mahmoud Saleh

用户授予的权限始终是:角色\匿名?

spring-security spring-mvc spring
  •  5
  • Mahmoud Saleh  · 技术社区  · 14 年前

    我使用以下方法在注册后进行编程登录 

    private void autoLogin(User user,
            HttpServletRequest request)
    {

GrantedAuthority[] grantedAuthorities = new GrantedAuthority[] { new GrantedAuthorityImpl(
                "ROLE_ADMIN") };

        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(
                user.getUsername(), user.getPassword(),grantedAuthorities);

        // generate session if one doesn't exist
        request.getSession();

        token.setDetails(new WebAuthenticationDetails(request));
        Authentication authenticatedUser = authenticationManager.authenticate(token);

        SecurityContextHolder.getContext().setAuthentication(authenticatedUser);
    }

    用户已通过身份验证,但始终具有“匿名”角色,我不知道为什么? 有什么想法吗?

    2 回复  |  直到 9 年前
        1
  •  8
  •   axtavt    14 年前

    这种行为看起来很奇怪。Javi建议手动将安全上下文持久化到会话中,但应该由Spring安全 SecurityContextPersistenceFilter .

    我能想象的一个可能原因是 filters = "none" 在里面 <intercept-url> 注册处理页。

    filters=“无” 禁用指定URL的所有安全筛选器。如您所见,它可能会干扰Spring安全性的其他特性。因此,更好的方法是保持过滤器处于启用状态,但将其配置为允许所有用户访问。您有几个选项:

    • 使用的旧语法 access 属性(即没有 <http use-expressions = "true" ...> ):
      • access = "ROLE_ANONYMOUS" 允许未经身份验证的用户访问,但拒绝经过身份验证的用户。
      • 允许所有用户访问 access = "IS_AUTHENTICATED_ANONYMOUSLY, IS_AUTHENTICATED_FULLY, IS_AUTHENTICATED_REMEMBERED"
    • 使用 new Spring Expression Language-based syntax ( <http使用expressions=“true”…> )你只需写 access = "true" 允许所有用户访问 <截获URL> S也应该使用这种语法)。
        2
  •  0
  •   Javi    14 年前

    我有一个类似的问题,在进行身份验证之后,我必须手动设置会话。 

    request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());

    试试看。

    推荐文章
    Never_se  ·  Java Spring requestMatchers允许经过身份验证的路径中的路径
    1 年前
    Ashwin Karki  ·  我在哪里可以找到grails中的登录页面来更改登录模型的模板?
    6 年前
    Vickie Jack  ·  spring无法发送css和js资源
    6 年前
    Lucas Montenegro Carvalhaes  ·  使用预授权保护vaadin 8视图(spring security)
    6 年前
    Carlos Alvares  ·  阻止用户调用受保护的端点+OAuth2
    6 年前
    Laures  ·  将角色层次结构应用于客户端角色
    6 年前
    Florian Beaufumé  ·  Spring Security 5响应式应用程序日志记录
    6 年前
    en Peris  ·  BCryptPasswordEncoder-编码的密码看起来不像BCrypt
    6 年前
    Eremite  ·  Spring Security oauth2 cors筛选器不工作
    6 年前
    Ayush  ·  无法为第二次命中调用身份验证提供程序
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号