Wie Entferne ich die ROLE_ Präfix von Spring Security mit JavaConfig?

Ich versuche das zu entfernen "ROLE_" - Präfix in Spring Security. Das erste, was ich ausprobiert habe, war:

http.servletApi().rolePrefix("");

Das hat nicht funktioniert, also habe ich versucht die Schaffung eines BeanPostProcessor wie vorgeschlagen in http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-jc.html#m3to4-role-prefixing-disable. Das hat nicht funktioniert entweder.

Schließlich habe ich versucht, meine eigene SecurityExpressionHandler:

  @Override
  protected void configure(HttpSecurity http) throws Exception {
      http
          .authorizeRequests()
          .expressionHandler(webExpressionHandler())
          .antMatchers("/restricted").fullyAuthenticated()
          .antMatchers("/foo").hasRole("mycustomrolename")
          .antMatchers("/**").permitAll();
  }

  private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
      DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
      defaultWebSecurityExpressionHandler.setDefaultRolePrefix("");
      return defaultWebSecurityExpressionHandler;
  }

Jedoch hat dies nicht funktioniert. Wenn ich "hasAuthority(Funktionsname)" statt hasRole, funktioniert es wie erwartet.

Ist es möglich, entfernen Sie das ROLE_ Präfix von Spring Security ist hasRole überprüfen?

  • Seltsam ist die BeanPostProcessor funktioniert bei mir (du hast es als erklären static bean-Methode enthalten und die PriorityOrdered so dass es läuft sehr frühen?) und das gleiche für expression-handlers. Wir haben auch eine DefaultMethodSecurityExpressionHandlerDefaultMethodSecurityExpressionHandler` konfiguriert, die mit dem Präfix festlegen die null.
  • Ja, ich kopierte den code für die BeanPostProcessor direkt aus der Dokumentation. Ich habe versucht, den @Bean in meinem @Configuration Klasse für Spring Security und in meinem @SpringBootApplication Klasse. Ich habe eine System.out.println um sicherzustellen, dass es konfiguriert wird, bevor der Frühling Sicherheit auch. hasAuthority wie erwartet funktioniert, so dass ich denke, ich werde einfach verwenden, statt.
  • Wir haben es in einer nicht spring-boot-Anwendung. Könnte es sein, dass das stören oder die Sicherheit von boot ist immer noch irgendwie konfiguriert früher?
InformationsquelleAutor Matt Raible | 2016-06-30
  1. 19

    Ab Frühjahr 4.2 definieren Sie den Präfix mit einer einzigen Bohne, wie Sie hier beschrieben: https://github.com/spring-projects/spring-security/issues/4134

    @Bean
GrantedAuthorityDefaults grantedAuthorityDefaults() {
    return new GrantedAuthorityDefaults(""); //Remove the ROLE_ prefix
}

    XML-version:

    <beans:bean id="grantedAuthorityDefaults" class="org.springframework.security.config.core.GrantedAuthorityDefaults">
    <beans:constructor-arg value="" />
</beans:bean>
    • Nicht für mich Gearbeitet
    • Funktioniert nicht: siehe 4. Kommentar bei Frage stackoverflow.com/questions/46756013
    • Es funktionierte Feind mich einfach nur gut. Danke!!!
    • Es gibt einen Unterschied zwischen einem GrantedAuthority und eine Rolle. Diese Antwort ist für GrantedAuthority.
    • Dieser arbeitet für mich
    • Für diejenigen, die Ausnahme mit Anmerkung: verschieben Sie die @Bean-Instanz aus dem security config des MVC config Ref: stackoverflow.com/questions/48971937/...

    InformationsquelleAutor Antoine Melki
  2. 7

    Folgende Konfiguration funktioniert bei mir.

    @Override
public void configure(WebSecurity web) throws Exception {
    web.expressionHandler(new DefaultWebSecurityExpressionHandler() {
        @Override
        protected SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, FilterInvocation fi) {
            WebSecurityExpressionRoot root = (WebSecurityExpressionRoot) super.createSecurityExpressionRoot(authentication, fi);
            root.setDefaultRolePrefix(""); //remove the prefix ROLE_
            return root;
        }
    });
}
    • funktioniert Super mit spring security 5, ty for sharing.
    InformationsquelleAutor walsh
  3. 3

    Wenn Sie vor 4.2 und sind mit Hilfe von so genannten Wähler (Sie sind, wenn Sie die Verwendung von Annotationen, wie @hasRole etc) dann müssen Sie definieren, unter die Bohnen in der Kontext:

    @Bean
public DefaultMethodSecurityExpressionHandler defaultMethodSecurityExpressionHandler() {
    DefaultMethodSecurityExpressionHandler defaultMethodSecurityExpressionHandler = new DefaultMethodSecurityExpressionHandler();
    defaultMethodSecurityExpressionHandler.setDefaultRolePrefix("");
    return defaultMethodSecurityExpressionHandler;
}

@Bean
public DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler() {
    DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
    defaultWebSecurityExpressionHandler.setDefaultRolePrefix("");
    return defaultWebSecurityExpressionHandler;
}

    Diese Bohnen werden verwendet, um die Auswertung von Kontext für Zauber Ausdrücke, und Sie haben eine defaultRolePrefix auf 'ROLE_'. Obwohl es hängt von Ihrem Anwendungsfall. Diese funktionierte für mich und den oben nicht.

    EDIT: Beantwortung der Frage über xml-Konfiguration -> natürlich kann man das in xml. Alles geschieht in java-config geschrieben werden kann in der xml-Konfiguration. Hier ist ein Beispiel (obwohl ich ihn nicht testen, so könnte es ein Tippfehler oder so):

    <bean id="defaultWebSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
        <property name="defaultRolePrefix" value=""></property>
</bean>

<bean id="defaultMethodSecurityExpressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
        <property name="defaultRolePrefix" value=""></property>
</bean>
    • Gibt es eine Entsprechung in XML-Konfiguration?
    • Ich aktualisiert meine Antwort mit dem xml-config... aber wie ich schon schrieb, könnte es eine Art von Fehler habe ich nicht getestet. Die Allgemeine Regel ist - alles in java-config kann getan werden in xml als auch.
    • Die xml-Konfiguration nicht funktioniert für mich.
    • schlägt fehl, in meinem JHipster Anwendung direkt beim Booten mit org.springframework.beans.factory.BeanCreationException: .......; nested exception is java.lang.IllegalArgumentException: A ServletContext is required to configure default servlet handling
    • Petr - es ist nur eine wilde Vermutung, aber wenn Sie diesen Fehler erhalten, bedeutet es vermutlich, dass Sie nicht über eine web-Kontext, so müssen Sie nicht den zweiten bean - DefaultWebSecurityExpressionHandler. Sowieso jede Konfiguration ist anders, so ist es schwer zu sagen, was das problem wirklich ist in Ihrem Fall Jungs. Für mich sind diese zwei Bohnen das problem behoben.
    InformationsquelleAutor Piotr Tempes
  4. 3

    Scheint es, dass die neue GrantedAuthorityDefaults wird, ändern Sie den Präfix für die DefaultWebSecurityExpressionHandler und die DefaultMethodSecurityExpressionHandler, aber es verändert nicht die RoleVoter.rolePrefix das ist das setup von @EnableGlobalMethodSecurity.

    Den RoleVoter.rolePrefix ist, was verwendet wird für @Secured("ADMIN") Art von Methode security.

    Also zusammen mit der GrantedAuthorityDefaults hatte ich auch hinzufügen, diese CustomGlobalMethodSecurity Klasse zum überschreiben der Standardwerte für RoleVoter.

    @Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class CustomGlobalMethodSecurity extends GlobalMethodSecurityConfiguration {

    protected AccessDecisionManager accessDecisionManager() {
        AffirmativeBased accessDecisionManager = (AffirmativeBased) super.accessDecisionManager();

        //Remove the ROLE_ prefix from RoleVoter for @Secured and hasRole checks on methods
        accessDecisionManager.getDecisionVoters().stream()
                .filter(RoleVoter.class::isInstance)
                .map(RoleVoter.class::cast)
                .forEach(it -> it.setRolePrefix(""));

        return accessDecisionManager;
    }
}
    • Ich benutze die @EnableGlobalMethodSecurity in WebSecurityConfigurerAdapter, wie bekommt man Zugang zu AccessDecisionManager?
    • Die AccessDecisionManager konfiguriert werden in einer weiteren Klasse, da ich nicht glaube, dass es getan werden kann, von der WebSecurityConfigurerAdapter. Ich denke, Sie müssen nur eine neue Konfiguration erstellen Klasse, die Sie erweitert GlobalMethodSecurityConfiguration
    • Das hilft mir, danke
    • Aber das hilft nur, wenn Sie @Secured Anmerkung, da @Secured Werte ausgewertet RoleVoter Klasse, und @PreAuthorize annotation-Ausdruck, der ausgewertet in PreInvocationAuthorizationAdviceVoter Klasse, Verlag eine bean new GrantedAuthorityDefaults("") mit Präfix-argument im Konstruktor, die auch Auswirkungen auf @PreAuthorize.
    InformationsquelleAutor Jeff Sheets
  5. 0

    Wenn Sie Spring Boot 2 können Sie erstellen, die diese Bohne zu überschreiben, die RoteVoter Präfix

    @Bean
public GrantedAuthorityDefaults grantedAuthorityDefaults() {
    return  new GrantedAuthorityDefaults("<anything you want>");
}

    Funktioniert es denn, wenn GlobalMethodSecurityConfiguration erstellt AccessDecisionManager in der Methode GlobalMethodSecurityConfiguration.accessDecisionManager(). Hier ist das code-snippet, beachten Sie die null-check auf grantedAuthorityDefaults

        protected AccessDecisionManager accessDecisionManager() {
    ....
    RoleVoter roleVoter = new RoleVoter();
    GrantedAuthorityDefaults grantedAuthorityDefaults =
            getSingleBeanOrNull(GrantedAuthorityDefaults.class);
    if (grantedAuthorityDefaults != null) {
        roleVoter.setRolePrefix(grantedAuthorityDefaults.getRolePrefix());
    }
    decisionVoters.add(roleVoter);
    decisionVoters.add(new AuthenticatedVoter());
    return new AffirmativeBased(decisionVoters);
}
    InformationsquelleAutor Hung Tran
Schreibe einen Kommentar