到目前为止,在以前的文章中,我们已经使用默认的spring安全配置对端点和控制器进行了安全保护。
当Spring Security在类路径上时,默认情况下自动配置会保护所有端点。
当涉及到复杂的应用程序时,我们需要每个端点使用不同的安全策略。 我们需要配置哪些端点应受到保护,哪些类型的用户应能够访问该端点以及应公开的端点。
一个很好的例子是端点,它将向用户显示欢迎消息。
package com.gkatzioura.security.securityendpoints.controller;import java.util.ArrayList;
import java.util.List;import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
public class IndexController {@GetMapping(path = "welcome")public String getMessage() {return "Welcome to the application";}
}关于您的应用程序已经受到保护的事实,您需要提供对该端点的公共访问。
为了做到这一点,spring为我们提供了HttpSecurity类。 通过扩展WebSecurityConfigurerAdapter我们可以配置应该保护的端点和应该是公共的端点。
因此,让我们创建WebSecurityConfigurerAdapter配置。
package com.gkatzioura.security.securityendpoints.config;import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/welcome").permitAll().anyRequest().authenticated().and().formLogin().permitAll().and().logout().permitAll();}
} 因此,让我们通过调用authorizeRequests函数将其分为几个部分。 我们有一个http配置器,可以添加我们想要公开或保护的端点。
通过调用antMatchers函数,我们可以传递一组蚂蚁模式。 应用的功能将为在antmatchers中指定的每个端点创建一个规则。
下一个功能是anyRequest 。 验证后的规则将应用于收到的任何请求。
最后但并非最不重要的一点是spring带有默认的登录表单和默认的注销端点。 为了使登录和注销变得可行,我们必须允许访问这些端点。
因此,最终结果将是可以公开访问欢迎端点,用于登录和注销端点的预配置表单。
翻译自: https://www.javacodegeeks.com/2018/07/spring-security-boot-2-securing-endpoints.html
)
)
)
)
)
)
