我为Web应用程序设置了Spring Security。我想制定全局安全性规则(允许GET上的所有经过身份验证的用户,并仅允许其他http方法上的ADMIN角色使用),并向带有@Secured批注的端点添加自定义规则。
当我像只有SUPER_USER角色的用户那样进行配置和@Secured注释时,无法访问该端点
override def configure(http: HttpSecurity): Unit = {
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.GET, ALL)
.permitAll()
.and()
.authorizeRequests()
.antMatchers(ALL).hasRole("ADMIN")
}
@DeleteMapping(value = Array("/{id}"))
@Secured(Array("SUPER_USER"))
def delete(@PathVariable("id") id: String): Unit = {...}
我希望具有@Secured的全局安全性规则和自定义规则。有什么办法吗?