Spring Security 基于角色的授权问题：403 禁止错误

PHPz

发布时间：2024-02-09 11:21:08

1195人浏览过

来源于stackoverflow

转载

spring security 是一个功能强大的安全框架，用于保护应用程序免受恶意攻击。在使用 spring security 过程中，角色的授权问题可能会引发 403 禁止错误。php小编香蕉为您详细介绍了这个问题，并提供了解决方案，帮助您顺利解决角色授权的困扰。无论您是初学者还是有经验的开发者，本文都将帮助您深入理解 spring security 的角色授权机制，并学会正确地处理 403 禁止错误。

问题内容

问题：

我正在尝试创建一个基于 spring 的 web 服务器，并具有基于角色的身份验证，但我始终收到 403 forbidden 错误。我已经实现了自定义 userdetails 类，我怀疑我的配置可能存在问题。

代码：

自定义 userdetails:

public class customuserdetails implements userdetails {
    private static final long serialversionuid = 1l;
    private final user user;

    public customuserdetails(user user) {
        this.user = user;
    }

    @override
    public collection getauthorities() {
        return user.getroles().stream().map(r -> new simplegrantedauthority("role_" + r.getname())).tolist();
    }

    // ... other userdetails methods
}

securityfilterchain 实现：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http
        .csrf(csrf -> csrf.disable())
        .sessionManagement(sess -> sess.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .authorizeHttpRequests(requests -> requests
            .requestMatchers("/api/**").permitAll()
            .requestMatchers("/secret/**").hasAuthority("USER")
            .anyRequest().authenticated())
        .oauth2ResourceServer(oauth2 -> oauth2.jwt(Customizer.withDefaults()))
        .addFilterBefore(authorizeFilter, UsernamePasswordAuthenticationFilter.class)
        .build();
}

我已经实现了一个自定义 userdetails 类并配置了 spring security 以进行基于角色的身份验证。但是，即使我相信角色已正确分配，我仍然遇到 403 forbidden 错误。我尝试同时使用 hasrole 和 hasauthority，但问题仍然存在。我的配置中缺少什么？

任何见解或建议将不胜感激。谢谢！

播记

播客shownotes生成器 | 为播客创作者而生

下载

解决方法

对于具有 JWT 的资源服务器，权限由身份验证转换器设置。

默认的身份验证转换器是 JwtAuthenticarionConverter，它将权限转换委托给可配置的权限转换器（默认使用 scope 声明中的条目添加 SCOPE_ 前缀）。

您可以提供一个配置有另一个权限转换器的 JwtAuthenticationConverter （一个使用另一个声明作为权限源），或者切换到完全不同的 Converterhttp.oauth2ResourceServer 扩展 AbstractAuthenticationToken>(oauth2-> oauth2.jwt(Jwt -> jwt.jwtAuthenticationConverter(...))

您也可以考虑这个额外的启动器我维护它使用一个可配置的权限转换器应用程序属性（除非您在conf中提供自己的权限或身份验证转换器）

您可以尝试打开spring的TRACE日志并找出问题发生的位置。这个建议可能不能直接帮助到你，但是确实帮助我们找到了迁移到Springboot3.0时API返回403的原因

使用 AAD 和 AWS Cognito 为不同端点保护 Spring Boot REST API

Spring 安全性阻止对样式的访问

从应用程序 yml 加载对象列表 Java Spring Boot

无法将多个带有审核jar文件的spring data jpa项目加载到应用程序中

无法在 Spring Boot 应用程序中上传图像

相关标签:

spring security php spring 委托 http

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：读取输入时可以跳过 EOF 吗？下一篇：在 JFileChooser 中自定义 JPopupMenu：访问内部组件

作者最新文章

如何在Spryker项目中实现前端与后端高效通信？Spryker/Zed-Request与Composer助你轻松连接！

2025-09-12 12:40

如何高效生成唯一ID？Ramsey/Uuid助你解决分布式系统中的ID难题

2025-09-13 09:51

Yii2数据库迁移总是手动写？insolita/yii2-migration-generator助你告别繁琐，实现自动化！

2025-09-15 09:38

如何解决复杂系统可视化难题，Spryker/Graphviz助你轻松绘制依赖与状态图

2025-09-15 09:52

如何高效生成订单/发票号？SprykerSequenceNumber模块助你轻松搞定

2025-09-16 10:01

如何解决电商平台商品属性管理混乱的问题，使用SprykerProductAttribute模块助你实现灵活高效的数据管理

2025-09-16 12:23

解锁夸克浏览器AI搜索新功能_掌握夸克AI搜索的进阶玩法

2025-10-13 17:08

升级夸克浏览器体验AI搜索_夸克AI搜索核心功能深度解析

2025-10-28 20:58

微信朋友圈能不能定时发微信朋友圈定时发送辅助工具使用

2026-01-11 08:41

企业微信朋友圈怎么定时发送企业微信定时发布朋友圈教程

2026-01-19 01:11

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI大模型

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI大模型

中文写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

图画生成

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作

智谱清言 - 免费全能的AI助手

AI大模型

PC软件

相关专题

php文件怎么打开

打开php文件步骤：1、选择文本编辑器；2、在选择的文本编辑器中，创建一个新的文件，并将其保存为.php文件；3、在创建的PHP文件中，编写PHP代码；4、要在本地计算机上运行PHP文件，需要设置一个服务器环境；5、安装服务器环境后，需要将PHP文件放入服务器目录中；6、一旦将PHP文件放入服务器目录中，就可以通过浏览器来运行它。

2859

2023.09.01