多个HttpSecurity

我们可以配置多个HttpSecurity实例,就像我们可以有多个块抑郁。关键在于对WebSecurityConfigurationAdapter进行多次扩展。例如下面是一个对/api/开头的URL进行的不同的设置。

  1. @EnableWebSecurity
  2. public class MultiHttpSecurityConfig {
  3.     @Autowired
  4.     public void configureGlobal(AuthenticationManagerBuilder auth) { //1
  5.         auth
  6.             .inMemoryAuthentication()
  7.                 .withUser("user").password("password").roles("USER").and()
  8.                 .withUser("admin").password("password").roles("USER", "ADMIN");
  9.     }
  11.     @Configuration
  12.     @Order(1)  // 2
  13.     public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
  14.         protected void configure(HttpSecurity http) throws Exception {
  15.             http
  16.                 .antMatcher("/api/**")  // 3
  17.                 .authorizeRequests()
  18.                     .anyRequest().hasRole("ADMIN")
  19.                     .and()
  20.                 .httpBasic();
  21.         }
  22.     }
  24.     @Configuration // 4
  25.     public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
  27.         @Override
  28.         protected void configure(HttpSecurity http) throws Exception {
  29.             http
  30.                 .authorizeRequests()
  31.                     .anyRequest().authenticated()
  32.                     .and()
  33.                 .formLogin();
  34.         }
  35.     }
  36. }
  1. 配置正常的验证
  2. 创建一个 WebSecurityConfigurerAdapter ,包含一个@Order注解,用来指定哪一个WebSecurityConfigurerAdapter更优先。
  3. http.antMatcher指出,这个HttpSecurity只应用到以/api/开头的URL上。
  4. 创建另外一个WebSecurityConfigurerAdapter实例。用于不以/api/开头的URL,这个配置的顺序在 ApiWebSecurityConfigurationAdapter之后,因为他没有指定@Order值 (没有指定@Order默认会被放到最后).