Spring Securityは、HttpSecurityを使用してURLおよびメソッドのリクエストを承認します
org.springframework.security.config.annotation.web.builders.HttpSecurityを使用して特定のURLへの投稿リクエストを承認する方法はありますか?
私はHttpSecurityasを使用しています:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.addFilterAfter(new CsrfCookieGeneratorFilter(), CsrfFilter.class)
.exceptionHandling()
.authenticationEntryPoint(authenticationEntryPoint)
.and()
.rememberMe()
.rememberMeServices(rememberMeServices)
.key(env.getProperty("jhipster.security.rememberme.key"))
.and()
.formLogin()
.loginProcessingUrl("/api/authentication")
.successHandler(ajaxAuthenticationSuccessHandler)
.failureHandler(ajaxAuthenticationFailureHandler)
.usernameParameter("j_username")
.passwordParameter("j_password")
.permitAll()
.and()
.logout()
.logoutUrl("/api/logout")
.logoutSuccessHandler(ajaxLogoutSuccessHandler)
.deleteCookies("JSESSIONID")
.permitAll()
.and()
.headers()
.frameOptions()
.disable()
.authorizeRequests()
.antMatchers("/api/register").permitAll()
.antMatchers("/api/activate").permitAll()
.antMatchers("/api/authenticate").permitAll()
.antMatchers("/api/logs/**").hasAuthority(AuthoritiesConstants.ADMIN)
.antMatchers("/api/subscriptions").permitAll()
.antMatchers("/api/**").authenticated();
}
POST/api/subscriptionパスへのリクエスト。POSTのみ。ありがとう。
こちらをご覧ください https://github.com/spring-projects/spring-data-examples/tree/master/rest/security
http
.httpBasic().and()
.authorizeRequests()
.antMatchers(HttpMethod.POST, "/employees").hasRole("ADMIN")
.antMatchers(HttpMethod.PUT, "/employees/**").hasRole("ADMIN")
.antMatchers(HttpMethod.PATCH, "/employees/**").hasRole("ADMIN");
この質問は少し古いことは知っていますが、csrfサポートを無効にすることは受け入れられる答えだとは思いません。私はこれと同じ問題を抱えていましたが、csrf.disable()を使用しても気分が良くありません。代わりに、フォームタグ内のページの下部に次の行を追加しました。
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
このような認証を削除するために必要なパスに言及してください
http
.httpBasic().and()
.authorizeRequests()
.antMatchers("/employees" , "/employees/**")
.permitAll().anyRequest().authenticated()
.and().csrf().disable()