Question

我正在使用Spring启动，Spring Security和Thymeleaf。目前，身份验证和授权在访问页面时工作正常，但我无法使百里香的授权工作。流程非常简单：我尝试访问admin.html页面，我需要将其作为“ADMIN”角色。 Spring Security正确拦截请求，首先将我转发到登录页面，当以管理员身份登录时，它允许我继续。

现在我想根据角色“隐藏”管理页面上的一些内容。所以在我的admin.html页面中，我有以下内容：

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head th:include="header :: common-header">
    <title>Admin Page</title>
</head>

<body>

<div th:replace="navbar :: common-navbar"></div>

<div class="container">

    <div class="row">

        <div class="col-md-6 col-md-offset-3">

            <div class="well">

                <div th:if="${#authorization.expression('hasRole(''ROLE_ADMIN'')')}">
                    Secret Content
                </div>

                <div class="starter-template">
                    <h1>Hello Administrator!</h1>
                    <p class="lead">This page allows you to perform administrative tasks</p>
                    <form id="f" th:action="@{/logout}" method="post" role="form" class="form-group">
                        <input type="submit" value="Logout" class="btn btn-primary" />
                    </form>
                </div>

            </div>

        </div>

    </div>

</div><!-- /.container -->

<!-- Bootstrap core JavaScript
================================================== -->
<!-- Placed at the end of the document so the pages load faster -->
<div th:include="header :: before-body-script">

</div>
</body>
</html>

我面临的问题是#authorization对象为null，虽然我已经过清楚的身份验证和授权，但我无法看到管理页面。

我的pom.xml：

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>1.3.1.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-validation</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>


    <!-- Thymeleaf Dialect -->
    <dependency>
        <groupId>org.thymeleaf.extras</groupId>
        <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        <version>3.0.0.BETA01</version>
    </dependency>

我的安全配置类：

@Override
protected void configure(HttpSecurity http) throws Exception {

    // Allows for static content
    http.authorizeRequests().antMatchers("/webjars/**").permitAll();
    http.authorizeRequests().antMatchers("/css/**").permitAll();
    http.authorizeRequests().antMatchers("/js/**").permitAll();

    // Defines security for everything else
    http
            .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/admin").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin().loginPage("/login").failureUrl("/login?error").permitAll()
                .and()
            .logout()
                .permitAll();

}

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth
            .inMemoryAuthentication()
            .withUser("user").password("password").roles("USER")
            .and()
            .withUser("admin").password("admin").roles("USER", "ADMIN");
}

我已经尝试了很多个小时来解决这个问题，但没有成功。当然，我可以避免使用Spring启动并且可以使用JSP而不是百里香，但我真的很喜欢Spring启动+ Spring Security + Thymeleaf的组合，因为它更接近干净的HTML。

我也尝试过使用sec元素，如下面的代码片段所示：

  <div sec:authorize="hasRole('ROLE_ADMIN1')">
      This content is only shown to administrators.
  </div>

但是，尽管它没有给出错误，但它显示了每个角色的秘密内容，甚至是不存在的角色。

我试图通过添加SpringSecurityDialect来定义SpringTemplateEngine，但是我得到一个错误，说我声明了两次（这是因为Maven依赖于我想的额外库）。

我真的很感激你的帮助吗？

Answer 1

通过在pom.xml中更改以下依赖项来解决此问题：

QT

而不是3.0.0.BETA01。现在以下工作：

 <!-- Thymeleaf Dialect -->
    <dependency>
        <groupId>org.thymeleaf.extras</groupId>
        <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        <version>2.1.2.RELEASE</version>
    </dependency>

Answer 2

您可能忘记了使用@Controller批注标记任何控制器。就我而言，发生这种情况并对其进行了修复有助于解决该错误。这可以是故障排除步骤之一。

之所以会发生这种情况，是因为当您不将控制器标记为@controller并尝试从模板语言（在我的情况下为Thymeleaf）进行引用时，在运行时它将在上下文中下降并返回丢失身份验证对象，因此出现如下错误：

Caused by: org.attoparser.ParseException: Exception evaluating SpringEL expression: "#authorization.expression('!isAuthenticated()')" (template: "fragments/layout" - line 64, col 8)
    at org.attoparser.MarkupParser.parseDocument(MarkupParser.java:393)
    at org.attoparser.MarkupParser.parse(MarkupParser.java:257)
    at org.thymeleaf.templateparser.markup.AbstractMarkupTemplateParser.parse(AbstractMarkupTemplateParser.java:230)
    ... 47 more
Caused by: org.thymeleaf.exceptions.TemplateProcessingException: Exception evaluating SpringEL expression: "#authorization.expression('!isAuthenticated()')" (template: "fragments/layout" - line 64, col 8)
    at org.thymeleaf.spring5.expression.SPELVariableExpressionEvaluator.evaluate(SPELVariableExpressionEvaluator.java:290)
...
...
...
...
... 49 more
Caused by: java.lang.IllegalArgumentException: Authentication object cannot be null
    at org.springframework.security.access.expression.SecurityExpressionRoot.<init>(SecurityExpressionRoot.java:61)

请让我知道它是否有效！

thymeleaf中的身份验证对象为null或为空

2 个答案: