我们可以配置多个HttpSecurity实例,就像我们可以有多个 块抑郁。关键在于对 WebSecurityConfigurationAdapter进行多次扩展。例如下面是一个对 /api/开头的URL进行的不同的设置。

@EnableWebSecurity 
public class MultiHttpSecurityConfig { 
    @Autowired 
    public void configureGlobal(AuthenticationManagerBuilder auth) { //1 
        auth 
            .inMemoryAuthentication() 
                .withUser("user").password("password").roles("USER").and() 
                .withUser("admin").password("password").roles("USER", "ADMIN"); 
    } 

    @Configuration 
    @Order(1)  // 2 
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter { 
        protected void configure(HttpSecurity http) throws Exception { 
            http 
                .antMatcher("/api/**")  // 3 
                .authorizeRequests() 
                    .anyRequest().hasRole("ADMIN") 
                    .and() 
                .httpBasic(); 
        } 
    } 

    @Configuration // 4 
    public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { 

        @Override 
        protected void configure(HttpSecurity http) throws Exception { 
            http 
                .authorizeRequests() 
                    .anyRequest().authenticated() 
                    .and() 
                .formLogin(); 
        } 
    } 
} 

1、 配置正常的验证;
2、 创建一个WebSecurityConfigurerAdapter,包含一个@Order注解,用来指定哪一个WebSecurityConfigurerAdapter更优先;
3、 http.antMatcher指出,这个HttpSecurity只应用到以/api/开头的URL上;
4、 创建另外一个WebSecurityConfigurerAdapter实例用于不以/api/开头的URL,这个配置的顺序在ApiWebSecurityConfigurationAdapter之后,因为他没有指定@Order值(没有指定@Order默认会被放到最后).;