允许获得,但不发布,担任某些角色

时间:2016-06-17 14:13:07

标签: spring spring-security

我使用弹簧靴和弹簧安全。

我基于这样的网址添加安全性

http
    .authorizeRequests()                                                                
        .antMatchers("/resources/**", "/signup", "/about").permitAll()                  
        .antMatchers("/admin/**").hasRole("ADMIN")                                      
        .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            
        .anyRequest().authenticated()                                                   
        .and()
    // ...
    .formLogin();

有没有办法只为某个角色授权获取,发布,放置...?

1 个答案:

答案 0 :(得分:1)

您可以将方法作为antMatchers()方法的第一个参数传递:

http.authorizeRequests()
    .antMatchers(HttpMethod.GET, "/admin/**").hasRole("ADMIN")

链接到API for AbstractRequestMatcherRegistry.antMatchers()

P.S。类似的问题:Spring security authorize request for url & method using HttpSecurity