如何在Spring Security中为不同的应用部分配置多个HTTP安全配置？

Spring Security 中的多种 HTTP 安全配置

在 Spring Security 中，你可能会遇到不同的登录页面和安全配置需要不同的情况您的申请的各个部分。为了实现这一点，您可以利用 MultipleHttpSecurityConfig 方法。

在您的特定实例中，您已在使用 @EnableWebSecurity 注释的父类中配置了两个嵌套类：ProviderSecurity 和 ConsumerSecurity。虽然 /admin/** 的安全配置按预期运行，但您发现受“/consumer/**”限制的页面未按预期得到保护。

分析

您的问题是由于您的配置默认授权所有请求而引起的。这允许访问所有页面，无论定义的安全限制如何。要纠正此问题，您需要显式限制对特定 URL 或请求模式的访问。

解决方案

要解决此问题，请执行以下步骤：

1. 利用 ProviderSecurity 配置中的 antMatcher 方法来定义它应用的 URL 模式至：

   @Configuration
   @Order(1)
   public static class ProviderSecurity extends WebSecurityConfigurerAdapter{
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               .authorizeRequests()
                   .antMatchers("/", "/home").permitAll()
                   .antMatchers("/admin/login").permitAll()
                   .anyRequest().hasRole("BASE_USER")  // Restrict all other URLs
                   .and()
               ...
   }

2. 同样，在 ConsumerSecurity 配置中，指定应保护的 URL 模式：

   @Configuration
   @Order(2)
   public static class ConsumerSecurity extends WebSecurityConfigurerAdapter {
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               .authorizeRequests()
                   .antMatchers("/consumer/login").permitAll()
                   .anyRequest().hasRole("BASE_USER")  // Restrict all other URLs
                   .and()
               ...
   }

通过限制访问对于特定的 URL 模式，您可以为您的应用程序强制执行预期的安全性。

以上是如何在Spring Security中为不同的应用部分配置多个HTTP安全配置？的详细内容。更多信息请关注PHP中文网其他相关文章！