Spring Security fullAuthenticated（）和hasRole（“ADMIN”）

Question

我希望保护我的应用程序，以便任何完全正确的人都可以访问某些网址，并且管理员用户可以访问admin网址，并完全通过身份验证。

但是现在，我无法找到一种方法来同时使用fullyAuthenticaded() AND hasrole()。

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        .requestMatchers()
            .antMatchers("/api/**", "/health")
            .and()
        .authorizeRequests()
            .antMatchers("/health").permitAll()
            .and()
        .authorizeRequests()
            .antMatchers("/api/get-data").fullyAuthenticated()
            .and()
        .authorizeRequests()
            .anyRequest().hasRole("ADMIN");
}

Answer 1

你可以这样写：

  

antMatchers（“/ api / get-data”）。access（“isFullyAuthenticated（）和hasRole（'ROLE_BANNED'）”）

这就像在xml文件中定义时编写访问权限一样。同样的事情在这里。

现在，您可以为一个仅使用isFullyAuthenticated的antMatches定义一些url，为另一个具有admin角色且isFullyAuthenticated的antMatches定义一些url。

有关更多说明，请参阅this和this。