同じREST APIの基本認証とフォームログインの組み合わせ

Question

同じRESTサービスに対して基本認証とフォームログインを設定する方法はありますか？ログインしたユーザーに、ログイン後とコマンドラインからの両方でこのサービスをトリガーさせたいRunning curl -u username:password hostname.com/api/process今、私はこの投稿を見ました： SpringセキュリティJavaconfig を使用した基本認証とフォームベース認証これを春で設定する方法はありますか？私が今持っているのはこれです：

package com.my.company.my.app.security; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.provisioning.JdbcUserDetailsManager; import javax.sql.DataSource; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired DataSource dataSource; private static final org.slf4j.Logger logger = LoggerFactory.getLogger(SecurityConfig.class); @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/js/**", "/css/**") .permitAll(); http .authorizeRequests() .antMatchers("/api/**") .authenticated() .and() .httpBasic(); http .authorizeRequests() .antMatchers("/","/index") .authenticated() .and() .formLogin() .loginPage("/login") .loginProcessingUrl("/j_spring_security_check") .defaultSuccessUrl("/monitor") .failureUrl("/login?error") .usernameParameter("j_username") .passwordParameter("j_password") .permitAll() .and() .logout() .logoutUrl("/j_spring_security_logout") .logoutSuccessUrl("/login?logout") .permitAll() .and() .csrf() .disable(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.jdbcAuthentication().dataSource(dataSource) .passwordEncoder(passwordEncoder()) .usersByUsernameQuery("SELECT username, password, enabled FROM users WHERE username=?") .authoritiesByUsernameQuery("SELECT username, authority FROM authorities WHERE username=?"); } @Bean public PasswordEncoder passwordEncoder() { PasswordEncoder encoder = new BCryptPasswordEncoder(); return encoder; } }

唯一の問題は、hostname.com/indexまたはhostname.com/が呼び出されたときにログインページにリダイレクトされないことです。代わりに、基本的な認証資格情報を求めるウィンドウポップアップが表示されます。

SyntaX · Accepted Answer

以下のように複数のhttp設定を使用することでこれを簡単に実現できます。このコードは複数のhttp設定のみを説明しています。私はあなたが春のセキュリティに関連する他の重要な設定、例えばauthenticationMangerなどをよく知っていると仮定しています.

 @EnableWebSecurity public class MultiHttpSecurityCustomConfig { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication().withUser("user").password("password").roles("USER").and().withUser("admin").password("password") .roles("USER", "ADMIN"); } @Configuration @Order(1) public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http) throws Exception { http.antMatcher("/api/**").authorizeRequests().anyRequest().hasRole("ADMIN").and().httpBasic(); } } @Configuration public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().formLogin(); } } }

春のセキュリティ公式リンクを参照してください： Multiple HttpSecurity

また、チェックアウトすることをお勧めします Secure REST Services with Spring Security

問題が発生した場合はお気軽にコメントしてください！