Как предоставить разные разрешения ролей для одного и того же URL-адреса с разными типами методов запроса в Spring Boot Secuirty

Я использую безопасность весенней загрузки для аутентификации и авторизации остальных http apis. Я вижу, что мы можем настроить авторизацию вот так

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;

@EnableWebSecurity
    @Configuration
    class WebSecurityConfig extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .authorizeRequests()
//              .anyRequest().permitAll()
                .antMatchers("/user/health_check/*").permitAll()
                .antMatchers("/user/registration").permitAll()
    .antMatchers("/user/login","/user/logout").hasAnyRole("USER","ADMIN","MANAGER")
                .antMatchers("/admin/*").fullyAuthenticated()
                .and().httpBasic()
                .and().csrf().disable();

        }

    }

Я хотел знать, как дать разные разрешения для разных URL-адресов, которые отличаются методами запроса?

Например: если мне нужно два URL-адреса, например

// GET /api/account/{id}
// POST /api/account/{id}
// PUT /api/account/{id}

Я хочу предоставить только доступ администратора к PUT и доступ пользователя к GET, а также доступ пользователя и администратора к POST .. как мне этого добиться?

java spring spring-boot authentication authorization
10.08.2018 18:26
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами
Как вычислять биты и понимать побитовые операторы в Java - объяснение с примерами
В компьютерном программировании биты играют важнейшую роль в представлении и манипулировании данными на двоичном уровне. Побитовые операции...
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Поднятие тревоги для долго выполняющихся методов в Spring Boot
Приходилось ли вам сталкиваться с требованиями, в которых вас могли попросить поднять тревогу или выдать ошибку, когда метод Java занимает больше...
Полный курс Java для разработчиков веб-сайтов и приложений
Полный курс Java для разработчиков веб-сайтов и приложений
Получите сертификат Java Web и Application Developer, используя наш курс.
1
0
3 021
2

Ответы 2

Вы можете использовать аннотацию @PreAuthorize для методов контроллера:

@GetMapping("/api/account/{id}")
@PreAuthorize("hasAutority('readAccountById')")
public Account getAccount(@PathVariable Integer id){
   ...
}

Он работает с контекстом безопасности Spring, и вы можете проверять роли пользователей, полномочия и многое другое.

Для справки взгляните на эту статью https://www.baeldung.com/spring-security-method-security

10.08.2018 18:50

Вы можете передать метод запроса в antMatchers.

Попробуйте с этим:

            http
                .httpBasic().and()
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/api/account/**").hasRole("ADMIN")
                .antMatchers(HttpMethod.POST, "/api/account/**").hasRole("ADMIN")
                .antMatchers(HttpMethod.PUT, "/api/account/**").hasRole("ADMIN");
10.08.2018 19:50

Другие вопросы по теме

Использовать внедрение конструктора для подклассов Spring ConfigurationProperties
Как установить значение массива по умолчанию для пустого с помощью @RequestParam
Для поддержки настраиваемого потока аутентификации лучше всего перейти от OncePerRequestFilter или AbstractAuthenticationProcessingFilter?
Добавить заголовок в ответ graphql
Spring data mongo в условиях без учета регистра
Как перехватить RequestRejectedException в Spring?
Spring Boot не может найти /WEB-INF/classes/index.jsp
Как вставить только в таблицу соединений, но не в справочную таблицу в JPA Hibernate
Как подключить два контейнера докеров, один из которых содержит hazelcast в сетке данных памяти, а другой - файл войны
Как построить хорошую архитектуру безопасности в веб-приложении?

Похожие вопросы

Как извлечь версию_имя версии пакета APK для Android с помощью Python?
Ломбок не работает с Intellij
Пул GRPC ManagedChannels и BlockingStubs или один общий?
Переименуйте переменную, используемую в нескольких подклассах в Intellij
Текст Java не обновляется правильно
Как добавить `hamcrest-core-1.3.jar` в переменную classpath в Windows?
Как ссылаться на java.sql из сценария Scala, не встречая SecurityException?
Окно охвата тестов IntelliJ IDEA не отображается
Java получает данные из нескольких элементов ListView
Как изменить фокус ввода с плавающего окна приложения на другое приложение в фоновом режиме?