那些遇到过的问题

Spring Security fullAuthenticated() 和 hasRole("ADMIN")

Lea*_*mas 5 java spring spring-security

我想保护我的应用程序,以便任何经过admin完全身份验证的人都可以访问某些 URL,并且管理员用户也可以访问 URL,并且也完全经过身份验证。

但是现在,我无法设法找到fullyAuthenticaded() AND hasrole()一起使用的方法。

@Override
public void configure(HttpSecurity http) throws Exception {
    http
        .requestMatchers()
            .antMatchers("/api/**", "/health")
            .and()
        .authorizeRequests()
            .antMatchers("/health").permitAll()
            .and()
        .authorizeRequests()
            .antMatchers("/api/get-data").fullyAuthenticated()
            .and()
        .authorizeRequests()
            .anyRequest().hasRole("ADMIN");
}
Run Code Online (Sandbox Code Playgroud)

Sac*_*wgi 3

你可以这样写:

antMatchers("/api/get-data").access("isFullyAuthenticated() 和 hasRole('ROLE_BANNED')")

这就像您在 xml 文件中定义时编写访问权限一样。这里也是一样的。

现在,您可以为一个仅具有 isFullyAuthenticated 的 antMatches 定义一些 url,并为另一个具有 admin 角色和 isFullyAuthenticated 的 antMatches 定义一些 url。

如需更多说明,请阅读

归档时间:

查看次数:

3570 次

最近记录:

8 年,11 月 前
Spring Security:允许所有经过完全身份验证的用户进行页面视图,除非他们具有特定角色 5
更多相关链接
相关归档
为什么不能在Java中扩展注释? 223
在列表迭代期间从java.util.List中删除元素时抛出ConcurrentModificationException? 60
Android Studio中支持的@SuppressWarnings值 49
正则表达式上的String.split()*not*? 48
杰克逊的@JsonSubTypes仍然是多态反序列化所必需的吗? 43
Spring文件上传未绑定到模型属性对象 13
是否可以手动调用spring调度方法 8
不自动装配限制IoC的目标吗? 7
Why Resource Server has to know client_id in Spring OAuth2? 3
Grails导入SpringSecurityUtils unresolve类 2
难疑归档
如何退出Vim编辑器? 3558
如何从SQL Server中的SELECT更新? 3546
做一个"git export"(比如"svn export")? 2312
将字符串转换为datetime 2035
O(log n)究竟意味着什么? 2021
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
打印Java数组最简单的方法是什么? 1852
我是否提交了由npm 5创建的package-lock.json文件? 1164
如何在Bash中将字符串转换为小写? 1158
如何在psql中切换数据库? 1029