我们的例子中要求用户进行身份验证并且在我们应用程序的每个URL这样做。我们可以通过给http.authorizeRequests()添加多个子节点来指定多个定制需求到我们的URL。例如:

protected void configure(HttpSecurity http) throws Exception { 
    http 
        .authorizeRequests()  //1 
            .antMatchers("/resources/**", "/signup", "/about").permitAll() //2 
            .antMatchers("/admin/**").hasRole("ADMIN") //3 
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            4 
            .anyRequest().authenticated()  //5 
            .and() 
        // ... 
        .formLogin(); 
} 

1、 http.authorizeRequests()方法有多个子节点,每个macher按照他们的声明顺序执行;
2、 我们指定任何用户都可以访问的多个URL模式任何用户都可以访问URL以“/resources/“,开头的URL,以及”/signup”,“/about”.;
3、 以”/admin/“开头的URL只能由拥有“ROLEADMIN”角色的用户访问.请注意我们使用HasRole方法,没有使用ROLE前缀;
4、 任何以/db/开头的URL需要用户同时具有”ROLEADMIN”和“ROLE_DBA”.和上面一样我们的hasRole方法也没有使用ROLE前缀;
5、 尚未匹配的任何URL要求用户进行身份验证;