Web用RESTFulおよびFormLogin（Cookie）用のSpring Security HTTP Basic-注釈

Question

特定の

特定のURLパターンに対してのみHTTP基本認証が必要です。

詳細

アプリケーション用のAPIインターフェースを作成していますが、単純なHTTP基本認証で認証する必要があります。ただし、他のWebページはnot HTTP Basicを使用する必要がありますが、通常形式のログインを使用する必要があります。

現在の構成-動作していません

@Override protected void configure(HttpSecurity http) throws Exception { http //HTTP Security .csrf().disable() //Disable CSRF .authorizeRequests() //Authorize Request Configuration .antMatchers("/connect/**").permitAll() .antMatchers("/", "/register").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/api/**").hasRole("API") .anyRequest().authenticated() .and() //HTTP basic Authentication only for API .antMatcher("/api/**").httpBasic() .and() //Login Form configuration for all others .formLogin().loginPage("/login").permitAll() .and() //Logout Form configuration .logout().permitAll(); }

Faraj Farook · Accepted Answer

2日間待機しましたが、ここでは何の助けも得ませんでした。しかし、私の研究は私に解決策を提供しました:)

ソリューション

@Configuration @EnableWebMvcSecurity @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true, proxyTargetClass = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ @Autowired private AuthenticationProvider authenticationProvider; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(authenticationProvider); } @Configuration @Order(1) public static class ApiWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .antMatcher("/api/**") .authorizeRequests() .anyRequest().hasAnyRole("ADMIN", "API") .and() .httpBasic(); } } @Configuration @Order(2) public static class FormWebSecurityConfig extends WebSecurityConfigurerAdapter{ @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/lib/**"); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() //HTTP with Disable CSRF .authorizeRequests() //Authorize Request Configuration .antMatchers("/connect/**").permitAll() .antMatchers("/", "/register").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() //Login Form configuration for all others .formLogin() .loginPage("/login").permitAll() .and() //Logout Form configuration .logout().permitAll(); } } }

Andrea L. · Answer

役立つかどうかはわかりませんが、上記のソリューションを実装できませんでした。単一のセキュリティを定義する回避策を見つけました

@Configurationクラス

伸びる

WebSecurityConfigurerAdapter

httpBasic（）とformLogin（）の両方が構成されています。次に、カスタムを作成しました

CustomAuthEntryPointはAuthenticationEntryPointを実装します

beginメソッドに次のロジックがあります。

 @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { String urlContext = UtilityClass.extractUrlContext(request); if (!urlContext.equals(API_URL_PREFIX)) { String redirectUrl = "urlOfFormLogin" response.sendRedirect(request.getContextPath() + redirectUrl); } else { response.sendError(HttpServletResponse.SC_UNAUTHORIZED); }

この問題に関する「ベストプラクティス戦略」であるダンノ