我最近写了一个使用spring security oauth2的spring boot项目,由于某种原因auth服务器是IdentityServer4,我可以在我的项目中成功登录并获取用户名,但我找不到任何设置用户权限/角色的方法。
request.isUserInRole 总是返回 false。@PreAuthorize("hasRole('rolename')") 总是引导我到 403。
我在哪里可以放置一些代码来设置权限?
服务器通过 userinfo 端点返回了一些用户声明,我的项目收到了它们,我什至可以在我的控制器的原则参数中看到它。
此方法总是返回 403
@ResponseBody
@RequestMapping("admin")
@PreAuthorize("hasRole('admin')")
public String admin(HttpServletRequest request){
return "welcome, you are admin!" + request.isUserInRole("ROLE_admin");
}
应用程序属性
spring.security.oauth2.client.provider.test.issuer-uri = http://localhost:5000
spring.security.oauth2.client.provider.test.user-name-attribute = name
spring.security.oauth2.client.registration.test.client-id = java
spring.security.oauth2.client.registration.test.client-secret = secret
spring.security.oauth2.client.registration.test.authorization-grant-type = authorization_code
spring.security.oauth2.client.registration.test.scope = openid profile
我打印索赔
@ResponseBody
@RequestMapping()
public Object index(Principal user){
OAuth2AuthenticationToken token = (OAuth2AuthenticationToken)user;
return token.getPrincipal().getAttributes();
}
并得到结果显示有一个名为“角色”的声明
{"key":"value","role":"admin","preferred_username":"bob"}
任何人都可以帮助我并给我一个解决方案吗?
编辑 1: 原因是 oauth2 客户端删除了提取器,我必须实现 userAuthoritiesMapper。
最后,我通过添加以下类来完成这项工作:
@ResponseBody
@RequestMapping("admin")
@PreAuthorize("hasRole('admin')")
public String admin(HttpServletRequest …