我们可以配置多个HttpSecurity实例,就像我们可以有多个 块抑郁。关键在于对 WebSecurityConfigurationAdapter
进行多次扩展。例如下面是一个对 /api/
开头的URL进行的不同的设置。
@EnableWebSecurity
public class MultiHttpSecurityConfig {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) { //1
auth
.inMemoryAuthentication()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
}
@Configuration
@Order(1) // 2
public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
http
.antMatcher("/api/**") // 3
.authorizeRequests()
.anyRequest().hasRole("ADMIN")
.and()
.httpBasic();
}
}
@Configuration // 4
public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin();
}
}
}
1、 配置正常的验证;
2、 创建一个WebSecurityConfigurerAdapter
,包含一个@Order
注解,用来指定哪一个WebSecurityConfigurerAdapter
更优先;
3、 http.antMatcher
指出,这个HttpSecurity
只应用到以/api/
开头的URL上;
4、 创建另外一个WebSecurityConfigurerAdapter
实例用于不以/api/
开头的URL,这个配置的顺序在ApiWebSecurityConfigurationAdapter
之后,因为他没有指定@Order
值(没有指定@Order
默认会被放到最后).;