Spring Security的403錯誤時，角色JAVA

Question

訪問所有用戶都可以登錄成功，但所有的人都可以打開它使用permitAll（）方法只URL。 FOr網址元我已設置角色「RADMIN」，並在該用戶登錄後，他無法打開元或任何其他網址，因爲403錯誤。可以打開的網址只有「登錄」，「註銷」，「家」。

@Configuration 
@ComponentScan("bg.package") 
@EnableWebSecurity 
@EnableGlobalMethodSecurity(prePostEnabled = true) 
public class SpringSecurity extends WebSecurityConfigurerAdapter { 

    @Autowired 
    private AuthenticationService authenticationService; 

    @Override 
    public void configure(WebSecurity web) throws Exception { 
     web.ignoring().antMatchers("/assets/**"); 
    } 

@Override 
    protected void configure(HttpSecurity http) throws Exception { 
http.authorizeRequests() 
     .antMatchers("/login", "/home", "/logout").permitAll() 
     .antMatchers("meta/**").hasAuthority("RADMIN") 
     .anyRequest().authenticated() 
     .and().addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class); 
} 

@Autowired 
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { 
     Md5PasswordEncoder encoder = new Md5PasswordEncoder(); 
     auth.userDetailsService(authenticationService).passwordEncoder(encoder); 
    } 
} 

AuthService

@Service 
public class AuthenticationService implements UserDetailsService { 

    @Autowired 
    private AuthDao authDao; 

    @Override 
    public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException { 

     AuthModel authModel = authDao.getUserInfo(email); 
     GrantedAuthority authority = new SimpleGrantedAuthority(authModel.getRank()); 
     UserDetails userDetails = (UserDetails) new User(authModel.getName(), authModel.getPass(), Arrays.asList(authority)); 
     return userDetails; 
    } 

} 

Answer 1

如果你正在檢查與hasAuthority()方法的用戶的角色，你還應該包括你的角色名前綴前ROLE_。那麼，哪些檢查角色的安全性配置的一部分應該是這樣的：

.antMatchers("meta/**").hasAuthority("ROLE_RADMIN") 

或者代替hasAuthority("ROLE_RADMIN")可以使用hasRole("RADMIN")。