Java配置 - 多个HttpSecurity

优质
小牛编辑
133浏览
2023-12-01

我们可以配置多个HttpSecurity实例,就像我们可以有多个块抑郁。关键在于对WebSecurityConfigurationAdapter进行多次扩展。例如下面是一个对/api/开头的URL进行的不同的设置。

  1. @EnableWebSecurity
  2. public class MultiHttpSecurityConfig {
  3. @Autowired
  4. public void configureGlobal(AuthenticationManagerBuilder auth) { //1
  5. auth
  6. .inMemoryAuthentication()
  7. .withUser("user").password("password").roles("USER").and()
  8. .withUser("admin").password("password").roles("USER", "ADMIN");
  9. }
  10. @Configuration
  11. @Order(1) // 2
  12. public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
  13. protected void configure(HttpSecurity http) throws Exception {
  14. http
  15. .antMatcher("/api/**") // 3
  16. .authorizeRequests()
  17. .anyRequest().hasRole("ADMIN")
  18. .and()
  19. .httpBasic();
  20. }
  21. }
  22. @Configuration // 4
  23. public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
  24. @Override
  25. protected void configure(HttpSecurity http) throws Exception {
  26. http
  27. .authorizeRequests()
  28. .anyRequest().authenticated()
  29. .and()
  30. .formLogin();
  31. }
  32. }
  33. }
  1. 配置正常的验证
  2. 创建一个 WebSecurityConfigurerAdapter ,包含一个@Order注解,用来指定哪一个WebSecurityConfigurerAdapter更优先。
  3. http.antMatcher指出,这个HttpSecurity只应用到以/api/开头的URL上。
  4. 创建另外一个WebSecurityConfigurerAdapter实例。用于不以/api/开头的URL,这个配置的顺序在 ApiWebSecurityConfigurationAdapter之后,因为他没有指定@Order值 (没有指定@Order默认会被放到最后).