在现有的框架项目中,我们要实现spring安全性。我们希望对无法接缝的任何请求使用白名单。
如果用@RolesAllowed或@Secured(或其他任何方法)对方法/类进行注释,则将检查角色,如果缺少角色,则将其阻塞。但是,如果缺少注释,则不会进行检查。允许使用该方法,因为
antMatchers("/**").fullyAuthenticated()
如果默认情况下在WebSercurityConfig上使用denyAll(),则每个人都将被阻止,并且不再对MethodSecurity进行评估。
默认情况下,是否仅在MethodSercurity上有拒绝denAll的方法?
如果用户至少具有一个角色,则可以访问该软件。但是,即使缺少模块注释,他也不应访问其他模块。
由于每个模块都有很多:(