问题描述
在做项目的时候,使用SpringSecurity配置完系统的访问权限时,进行测试的时候,发现明明携带了访问该路径需要的权限标志,会一直提示说我们权限不足。
这里我配置了AccessDeniedHandler,当SpringSecurity判断我们权限不足时,会抛出AccessDeniedException异常,然后执行AccessDeniedHandler中我们重写的的
handle方法。
解决
实在想不出原因的时候,我开始着手从源码去探究报错的原因,于是我从网上找来了这张图,授权测试流程:
如图所示,首页请求先会进入FilterSecurityInterceptor过滤器,将它作为断点的入口。
这里发现问题,在调用
super.beforeInvocation(filterInvocation);
方法的时候出现了异常,F7进入该方法中。
AbstractSecurityInterceptor:
该方法中首先调用了
this.obtainSecurityMetadataSource().getAttributes(object)方法,通过当前请求路径获取到访问该请求所需要的权限(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。
**其实在这里我已经发现问题了,我配置的该请求的访问权限并非
hasAuthority('user')。**
往下执行:
通过
authenticateIfRequired方法获取到Authentication对象,封装了当前用户的权限信息(Userdetails),也就是我们在登录认证成功后将用户权限信息保存到SecurityContextHolder上下文中的Authentication对象。
这里可以看到,我当前登录的用户信息是admin权限,而访问该请求需要的权限是user,问题所在!!
往下执行:
进入该方法:
继续F7进入该方法中:
AffirmativeBased:
这应该就是权限决策的核心方法了,在拿到我们当前用户的权限信息、请求路径信息、该请求所需要的权限信息,通过投票的方式来进行判断该请求是否具有权限方法,当不满足条件时,如图所示,抛出AccessDeniedException,从而去执行我们自定义的AccessDeniedHandler中的
handle
方法。
版权归原作者 小孙的Blog 所有, 如有侵权,请联系我们删除。