【问题标题】:Spring boot JWT Role authorization without Authentication无需身份验证的 Spring Boot JWT 角色授权
【发布时间】:2023-02-09 21:45:48
【问题描述】:

由于我对 spring security 的了解有限,我正在尝试对我的 spring boot 应用程序的 REST 端点实施基于角色的授权。我的应用程序身份验证由外部系统完成。我只需要在我的上下文中实施授权。我有多个 REST 端点。这些端点访问需要根据 jwt 令牌中的角色进行限制。我需要知道有什么方法可以在 spring security 中以某种方式跳过身份验证。我更喜欢使用注释来实现它

@PreAuthorize("hasAnyRole('USER', 'ADMIN')")

我写了一个过滤器来提取角色详细信息(配置文件类包含角色信息)

Optional.ofNullable(claims.get(USER_PROFILE).as(Profile.class));

但我不确定如何跳过身份验证而只实施授权。任何人都可以向我提供示例代码或 Web 链接,我可以在其中参考解决方案吗?

【问题讨论】:

    标签: java spring spring-boot spring-security jwt


    【解决方案1】:

    除了授予和禁止所有人访问权限之外,未经身份验证的授权没有任何意义。 JWT 应该包含谁或什么正在访问资源的信息。

    【讨论】:

      猜你喜欢
      • 2018-03-12
      • 2010-11-22
      • 2018-02-27
      • 2014-05-24
      • 2022-10-05
      • 1970-01-01
      • 2017-08-03
      • 2019-10-04
      • 2021-07-17
      相关资源
      最近更新 更多