Spring Boot 允许具有管理员角色的用户使用所有API

3phpmpom  于 2022-11-23  发布在  Spring
关注(0)|答案(1)|浏览(158)

我使用spring security配置了我的API安全端:

http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                    .and()
                    .authorizeRequests(authRequests -> {
                        // Allow all resource to admin
                        authRequests.antMatchers("*").hasRole(RoleType.Fields.ADMIN);
                        // Permissions OPTIONS
                        authRequests.mvcMatchers(HttpMethod.OPTIONS).permitAll();
                        // Management endpoints
                        authRequests.mvcMatchers("/management/**", "/docs/**", "/webjars/**").permitAll();
                        // Business APIs
                        authRequests.anyRequest().authenticated();
                    });
            http.oauth2ResourceServer().jwt().jwtAuthenticationConverter(jwtAuthenticationConverter());

对于其他角色,我创建了一个过滤器来获得权限,它工作正常,问题是我想给予ROLE_ADMIN访问所有资源的权限,当我使用antMatchers("*")时,API给出403代码。

spring-boot

1条答案

按热度按时间
3zwtqj6y

3zwtqj6y1#

尝试禁用csrf保护:

http.csrf().disable();

并使用anyRequest()代替antMatchers("*")

authRequests.anyRequest().hasRole(RoleType.Fields.ADMIN)
赞(0)分享  回复(0)举报  2022-11-23
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com