我有一个带有准OAuth 2.0设置的Spring Boot REST应用程序。我试图将此端点仅限制为ADMIN个角色。
我在资源服务器中重写了configure方法。这是我的configure方法的样子:
http
.csrf().disable()
.anonymous().disable()
.authorizeRequests()
.antMatchers("/messages/admin**").hasRole("ADMIN")
.and()
.authorizeRequests()
.antMatchers("/messages/**").hasAnyRole("USER","ADMIN")
.and()
.exceptionHandling().accessDeniedHandler(new OAuth2AccessDeniedHandler());
尝试以/messages/admin角色访问USER时,访问被拒绝,但是尝试访问/messages/admin/时,我可以访问端点。
理想情况下,我应该都拒绝访问。