在spring security中设置自定义身份验证和角色

Question

我已扩展WebSecurityConfigurerAdapter以配置自定义身份验证和授权。我已经介绍了一个新的API，“/ v1 / api”。我的要求如下，

1. 此API应由具有角色“API_ROLE”且没有其他人
的实体调用
2. 具有“API_ROLE”的人也不应该能够调用系统中的任何其他API。

我的配置如何？

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/v1/api**").hasAuthority("ROLE_API");

上面的代码实现了1个目的，如何阻止具有此角色的人击中任何其他API？

Answer 1

您可以使用以下Java配置。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().antMatchers("/v1/api**").hasAuthority("ROLE_API")
        .and().authorizeRequests()
        .antMatchers("/**").not().hasAuthority("ROLE_API");