有没有办法配置 Spring Security(使用 Java 配置)以仅保护自定义页面,甚至可以使用 @PreAuthorized 注释?
我的想法是我想保护像 /admin 这样的自定义调用和其他东西(没有在安全配置中对每个调用进行硬编码),它们在控制器中设置在提到的注释下,但其他东西不应该完全使用身份验证。
【问题讨论】:
标签: java spring security spring-mvc spring-security
我很难找到适合我的东西。这样就行了,而且可读性也很好。
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
以及完整的课程,供那些仍然不在同一页面上的人使用
package com.your.package.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.*;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ADMIN')")
.antMatchers("/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
}
}
请注意,不调用 formLogin() 方法会使默认的“/login”返回 404 错误。
【讨论】:
我不确定这是否能回答您的问题,但您可以使用 ant 匹配器来识别某些页面并忽略您的安全配置中的其他页面,如下所示:
.antMatchers("/**").permitAll()
或
.antMatcher("/admin/**")
.authorizeRequests()
.anyRequest().authenticated()
【讨论】: