在我使用标签的页面上: 安全性:授权 ifAnyGranted="ROLE_USER,ROLE_ADMIN" ... 有用。 但在服务器端:我使用 SecurityContextHolder.getContext().getAuthentication().isAuthenticated(),它总是正确的。当我没有登录时,系统以anonymousUser为登录用户。
我怎样才能避免这种情况?
【问题讨论】:
标签: spring-security
SecurityContextHolder.getContext().getAuthentication().isAuthenticated() 几乎总是会返回 true。 用这个
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
return authentication != null && !(authentication instanceof AnonymousAuthenticationToken) && authentication.isAuthenticated();
【讨论】:
如果是spring security 2.x,有AuthorityUtils.userHasAuthority(String authority)可以用来明确检查角色。
您可以遍历 SecurityContextHolder.getContext().getAuthentication().getAuthorities() 并确保您只允许对您想要的角色进行操作。
【讨论】: