1. ホーム
  2. 質問と答え
  3. Spring Boot/h2-consoleはSpring Security 1.5.2で403を投げます

Spring Boot/h2-consoleはSpring Security 1.5.2で403を投げます

2017-05-05 16 views
0

最近Spring Boot 1.4.1から1.5.2にアップグレードしました。 1.5.2の特徴の1つは、Spring Securityがパッケージの一部であれば、基本認証によって保護されているということです。基本認証後も/h2-consoleにアクセスできません。それは禁止された403を投げる。Spring Boot/h2-consoleはSpring Security 1.5.2で403を投げます

application.yml:私も明示的に/h2-console/**

httpSecurity.authorizeRequests() 
       .antMatchers(allowedResources)     
       .permitAll()

を許可している

spring: 
    datasource: 
    driver-class-name: org.h2.Driver 
    url: jdbc:h2:file:../app-db/app_db;AUTO_SERVER=TRUE 
    username: sa 
    password: sa 
    initialize: false 
    jpa: 
    hibernate: 
     ddl-auto: validate 
    show-sql: true 
    database-platform: org.hibernate.dialect.H2Dialect 
    h2: 
    console: 
     enabled: true 
     settings: 
     web-allow-others: true 
    allowed: 
    resources: /h2-console/**

私はlocalhost:8080/h2-consoleにアクセスしようとすると403を取得しておきます。 私は多くの設定と同様に入れてみました:

management.security.enabled=true 
security.basic.enabled=true

をしかし、私はH2-コンソールにアクセスすることができません。

出典

2017-05-05 Tuhin Kanti Sharma

+0

あなたはこの[参考](https://github.com/spring-projects/spring-boot/tree/master/spring-boot-samples/spring-boot-sample-web-secure-custom)を参照していますかセキュリティで春のブートでgithub –

答えて

1

私は、デバッグログを有効にしてこの見た:私は私のユーザーがROLE_USERを持っていないことを認識

o.s.s.w.a.i.FilterSecurityInterceptor : Secure object: FilterInvocation: URL: /h2-console/; Attributes: [hasAnyRole('ROLE_USER','ROLE_ACTUATOR')] 
2017-05-05 13:16:09.304 DEBUG 90365 --- [nio-8080-exec-2] o.s.s.w.a.i.FilterSecurityInterceptor : Previously Authenticated: org.springframew[email protected]33d2af72: Principal: or[email protected]7371d5f4: Dn: cn=XYZ,ou=XYZ,ou=Active,ou=ABC_USERS,dc=internal,dc=organization,dc=com; Username: uname; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; CredentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN; Credentials: [PROTECTED]; Authenticated: true; Details: org.sprin[email protected]b364: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: 86EF50EF548ED4DBCE4D661AEC93F88C; Granted Authorities: ROLE_ADMIN 
2017-05-05 13:16:09.305 DEBUG 90365 --- [nio-8080-exec-2] o.s.s.access.vote.AffirmativeBased  : Voter: org.sp[email protected]51d3d69, returned: -1 
2017-05-05 13:16:09.305 DEBUG 90365 --- [nio-8080-exec-2] o.s.s.w.a.ExceptionTranslationFilter  : Access is denied (user is not anonymous); delegating to AccessDeniedHandler

を。私はROLE_ADMIN>ROLE_USERと推測していましたが、これをもう少し良く理解する必要があります。

私はに私の設定を更新:私は今/h2-console/**にアクセスできるようにしています

security: 
    basic: 
    enabled: true 
    authorize-mode: NONE

出典

2017-05-05 20:25:08

+0

私の答えで私のコメントを見ることができます。 – chaoluo

+0

これは認証を中断しませんか? –

+0

認証が有効になっているため、ユーザーにROLEが割り当てられていない場合、アクセスが拒否されます –

0 
@Configuration 
@ConditionalOnClass(WebSecurityConfigurerAdapter.class) 
@ConditionalOnBean(ObjectPostProcessor.class) 
@ConditionalOnProperty(prefix = "security.basic", name = "enabled", matchIfMissing = true) 
static class H2ConsoleSecurityConfiguration

あなたは基本を有効にした場合、スプリングブーツはオーダーSecurityProperties.BASIC_AUTH_ORDER - 10と春のセキュリティ設定H2ConsoleSecurityConfigurerをロードし、認証はセキュリティであなたの設定のベースである、春ブーツでソースから読み取ることができたよう。これはデフォルトのセキュリティ設定です。

public void configure(HttpSecurity http) throws Exception { 
      String path = this.console.getPath(); 
      String antPattern = path.endsWith("/")?path + "**":path + "/**"; 
      HttpSecurity h2Console = http.antMatcher(antPattern); 
      h2Console.csrf().disable(); 
      h2Console.httpBasic(); 
      h2Console.headers().frameOptions().sameOrigin(); 
      // the default role is `USER` and `management.security.roles` 
      String[] roles = (String[])this.security.getUser().getRole().toArray(new String[0]); 
      // this value is base `security.basic.authorize-mode`, `role`, 'authenticated' and `none` 
      SecurityAuthorizeMode mode = this.security.getBasic().getAuthorizeMode(); 
      if(mode != null && mode != SecurityAuthorizeMode.ROLE) { 
       if(mode == SecurityAuthorizeMode.AUTHENTICATED) { 
        ((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated(); 
       } 
      } else { 
       ((AuthorizedUrl)http.authorizeRequests().anyRequest()).hasAnyRole(roles); 
      } 

     }

デフォルトがあなたに合っていないと思われる場合は、新しい設定を作成してデフォルトの設定を上書きすることができます。

@Configuration 
// before the default configuration 
@Order(SecurityProperties.BASIC_AUTH_ORDER - 11) 
class CustomH2ConsoleSecurityConfigurer extends WebSecurityConfigurerAdapter { 

     @Autowired 
     private H2ConsoleProperties console; 

     @Override 
     public void configure(HttpSecurity http) throws Exception { 
      String path = this.console.getPath(); 
      String antPattern = (path.endsWith("/") ? path + "**" : path + "/**"); 
      HttpSecurity h2Console = http.antMatcher(antPattern); 
      h2Console.csrf().disable(); 
      h2Console.httpBasic(); 
      h2Console.headers().frameOptions().sameOrigin(); 
      // config as you like 
      http.authorizeRequests().anyRequest().permitAll(); 
     } 

    }

出典

2017-05-05 13:37:39 chaoluo

関連する問題

 関連する問題