1. Zuhause
  2. Frage und Antwort
  3. Spring Security Sitzung/Xsrf-Konfiguration von Pfad

Spring Security Sitzung/Xsrf-Konfiguration von Pfad

2016-09-11 9 views
0

Ich habe eine vorhandene Webanwendung, die Spring-Sicherheit für die Authentifizierung verwendet. Es verwendet auch die Sitzungsverwaltung, damit der Benutzer für einen vordefinierten Zeitraum angemeldet sein kann, und XSRF-Tokens, um XSS-Angriffe zu verhindern.Spring Security Sitzung/Xsrf-Konfiguration von Pfad

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    // @formatter:off 
    http 
    .exceptionHandling() 
     .authenticationEntryPoint(restEntryPoint()) 
    .and() 
    .headers().addHeaderWriter(new StaticHeadersWriter("Server","")) 
    .and() 
    .httpBasic() 
     .authenticationEntryPoint(restEntryPoint()) 
    .and() 
    .logout().addLogoutHandler(myLogoutHandler()) 
    .logoutSuccessHandler(logoutSuccessHandler()) 
    .and() 
    .authorizeRequests() 
     .antMatchers("/index.html", "/login", "/").permitAll() 
     .antMatchers(HttpMethod.OPTIONS).denyAll() 
     .antMatchers(HttpMethod.HEAD).denyAll() 
     .anyRequest().authenticated() 
    .and() 
    .authenticationProvider(myAuthenticationProvider) 
     .csrf() 
      .csrfTokenRepository(csrfTokenRepository()) 
    .and() 
    .addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); 
    // @formatter:on 
}

Dies funktioniert hervorragend für die Webanwendung. Jetzt wurde ich aufgefordert, eine Konfiguration hinzuzufügen, die Drittanbieter-Client-Anwendungen meine Dienste über reine REST-Aufrufe aufrufen würde, dh sie sollten vollständig zustandslos sein und HTTP-Basisauthentifizierung verwenden - keine Sitzung sollte erstellt werden und xsrf sollte deaktiviert werden (I denken...).

Ich kann einen gemeinsamen URL-Pfad für all diese Client-API-Aufrufe definieren. Aber wie kann ich meine vorhandene Sicherheitskonfiguration und meinen Server nutzen, um beide Anforderungen zu unterstützen?

Quelle

2016-09-11 odedia

Antwort

0

meine eigene Frage zu beantworten ...

Spring Security ermöglicht es Ihnen, auf Bestellung basiert mehrere Konfigurationen verwenden. In der Dokumentation gibt es das folgende Beispiel:

@EnableWebSecurity 
public class MultiHttpSecurityConfig { 
    @Autowired 
    public void configureGlobal(AuthenticationManagerBuilder auth) { 1 
     auth 
      .inMemoryAuthentication() 
       .withUser("user").password("password").roles("USER").and() 
       .withUser("admin").password("password").roles("USER", "ADMIN"); 
    } 

    @Configuration 
    @Order(1)              2 
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter { 
     protected void configure(HttpSecurity http) throws Exception { 
      http 
       .antMatcher("/api/**")        3 
       .authorizeRequests() 
        .anyRequest().hasRole("ADMIN") 
        .and() 
       .httpBasic(); 
     } 
    } 

    @Configuration             4 
    public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { 

     @Override 
     protected void configure(HttpSecurity http) throws Exception { 
      http 
       .authorizeRequests() 
        .anyRequest().authenticated() 
        .and() 
       .formLogin(); 
     } 
    } 
}

In dem obigen Beispiel/api würde nur für ADMIN Rollen erlaubt werden, während andere Pfade mit dem Standard FormLoginWebSecurityConfigurerAdapter konfiguriert werden.

Weitere Informationen finden Sie unter this URL:

Quelle

2016-09-11 14:23:58 odedia

Verwandte Themen

 Verwandte Themen