Безопасность Spring: есть ли способ защитить одну конечную точку в двух цепочках фильтров?
У меня есть два типа пользователей: скажем, администраторы и пользователи. Пользователи аутентифицируются по http basic, а администраторы аутентифицируются по jwt. Итак, у меня есть такие конфигурации в двух @Configuration:
http.cors().and.csrf().disable().and().antMatcher("**/user/**")
.httpBasic();
и
http.cors().and().csrf().disable()
.antMatcher("**/admin/**")
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated())
.and()
.oauth2ResourceServer().jwt();
Но у меня есть некоторые конечные точки (скажем, /data), которые должны быть доступны (защищены!) как пользователям, так и администраторам. Есть ли способ настроить что-то подобное, или мне нужно разделить конечные точки /data?
Это хорошее предложение, и оно сработало для меня как шарм, я не думал об этом. Пожалуйста, опубликуйте это как ответ, чтобы я мог принять его.
Ответы 1
Вы также можете настроить фильтры для конкретных конечных точек. Вы можете написать собственный код в этих фильтрах и обрабатывать любую пользовательскую логику. Другим вариантом было бы использовать AOP для самой функции API и выполнять там пользовательскую обработку.
Вы также можете настроить фильтры для конкретных конечных точек. Вы можете написать собственный код в этих фильтрах и обрабатывать любую пользовательскую логику. Другим вариантом было бы использовать AOP для самой функции API и выполнять там пользовательскую обработку.