Erlauben erhalten, aber nicht, setzen Sie für irgendeine Rolle ein

Question

Ich benutze Springboot und Federsicherheit.

i Sicherheit hinzufügen, basierend auf URL wie diese

http 
    .authorizeRequests()                 
     .antMatchers("/resources/**", "/signup", "/about").permitAll()     
     .antMatchers("/admin/**").hasRole("ADMIN")          
     .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")    
     .anyRequest().authenticated()             
     .and() 
    // ... 
    .formLogin(); 

Gibt es eine Möglichkeit nur zu genehmigen zu bekommen, Post, setzt ... auf url für eine Rolle?

Answer 1

Sie Methode als erstes Argument von antMatchers() Methode übergeben können:

http.authorizeRequests() 
    .antMatchers(HttpMethod.GET, "/admin/**").hasRole("ADMIN") 

Link zu API for AbstractRequestMatcherRegistry.antMatchers()

P. S. Ähnliche Frage: Spring security authorize request for url & method using HttpSecurity