Java配置 - 多个HttpSecurity

优质

小牛编辑

130浏览

2023-12-01

我们可以配置多个HttpSecurity实例，就像我们可以有多个块抑郁。关键在于对WebSecurityConfigurationAdapter进行多次扩展。例如下面是一个对/api/开头的URL进行的不同的设置。

@EnableWebSecurity
public class MultiHttpSecurityConfig {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) { //1
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER").and()
                .withUser("admin").password("password").roles("USER", "ADMIN");
    }
    @Configuration
    @Order(1)  // 2
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
        protected void configure(HttpSecurity http) throws Exception {
            http
                .antMatcher("/api/**")  // 3
                .authorizeRequests()
                    .anyRequest().hasRole("ADMIN")
                    .and()
                .httpBasic();
        }
    }
    @Configuration // 4
    public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                .formLogin();
        }
    }
}

配置正常的验证
创建一个 WebSecurityConfigurerAdapter ，包含一个@Order注解，用来指定哪一个WebSecurityConfigurerAdapter更优先。
http.antMatcher指出，这个HttpSecurity只应用到以/api/开头的URL上。
创建另外一个WebSecurityConfigurerAdapter实例。用于不以/api/开头的URL，这个配置的顺序在 ApiWebSecurityConfigurationAdapter之后，因为他没有指定@Order值 (没有指定@Order默认会被放到最后).