•  21-12-2019
  •  | 
  •  

Pergunta

Bom dia, eu tenho um aplicativo Spring-Boot 1.1.4.Release, que está usando a segurança da mola incluída como dependências como:

compile("org.springframework.boot:spring-boot-starter-security")    
compile("org.springframework.security:spring-security-web:4.0.0.M1")
compile("org.springframework.security:spring-security-config:4.0.0.M1")
compile('org.thymeleaf.extras:thymeleaf-extras-springsecurity3:2.1.1.RELEASE')

Tenho dois tipos de funções:"Usuário" e "Administrador".Este último tem tudo o anterior, mas também acesso a uma tela de administração.Na minha página do Thymeleaf, eu só exibo esse link para usuários com função de administrador via, o que funciona perfeitamente:

<li sec:authorize="hasRole('ADMIN')">
    <i class="fa fa-link"></i><a th:href="@{/admin}">
            Administer User</a>
</li>

No entanto, se eu digitar manualmente o URL dessa página (http://localhost:9001/admin), todas as funções podem acessá-lo.Achei que estava controlando isso por meio da classe Configuração de segurança:

@Configuration
@EnableWebMvcSecurity
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers( "/" ).permitAll()
                .antMatchers("/admin/").hasRole("ADMIN")  <== also tried .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers( "/resources/**" ).permitAll()
                .antMatchers( "/css/**" ).permitAll()
                .antMatchers( "/libs/**" ).permitAll();

        http
                .formLogin().failureUrl( "/login?error" )
                .defaultSuccessUrl( "/" )
                .loginPage( "/login" )
                .permitAll()
                .and()
                .logout().logoutRequestMatcher( new AntPathRequestMatcher( "/logout" ) ).logoutSuccessUrl( "/" )
                .permitAll();

        http
                .sessionManagement()
                .maximumSessions( 1 )
                .expiredUrl( "/login?expired" )
                .maxSessionsPreventsLogin( true )
                .and()
                .sessionCreationPolicy( SessionCreationPolicy.IF_REQUIRED )
                .invalidSessionUrl( "/" );

        http
                .authorizeRequests().anyRequest().authenticated();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        PasswordEncoder encoder = new BCryptPasswordEncoder();
        auth.userDetailsService( customUserDetailsService ).passwordEncoder( encoder );
    }

}

Há algo faltando ou incorreto na minha configuração?

Atualizar:A solução que usei, com base na resposta de Dave, foi usar as três linhas a seguir:

.antMatchers( "/admin**" ).hasAuthority("ADMIN" )
.antMatchers( "/admin/" ).hasAuthority( "ADMIN" )
.antMatchers( "/admin/**" ).hasAuthority( "ADMIN" )

Isso gerará um erro 403 no navegador.Eventualmente, tentarei redirecioná-lo para uma página de erro ou "/'.

Foi útil?

Solução

Você protegeu explicitamente apenas "/admin/" (com uma barra final).Imagino que você precise ser mais preciso do que isso se estiver visitando "/admin" (sem barra final).

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top