Spring Security benutzerdefinierte Methode mit Pfadvariable und Ant Matcher

Question

Ich benutze Springboot, Web MVC und Federsicherheit mit Java-Konfiguration. Meine URLs sind "RESTful" und möchten benutzerdefinierte Autorisierungsmethoden hinzufügen.

Beispiel:

.antMatchers("/path/*/**").access("@myBean.authorise()") 

ich so etwas wie dies erreichen will:

.antMatchers("/path/{token}/**").access("@myBean.authorise(token)") 

Ich verstehe, dass ich in den HttpServletRequest und manuell Streifen den Weg passieren kann, möchte aber, dies vermeiden ! Auch nicht allzu sehr auf Methodenebene Sicherheit, würde lieber die Konfiguration an einem Ort, da ich viele Controller habe.

Danke!

Answer 1

Sie können Pfadvariablen zugreifen, sie nur mit # Präfix. In Ihrem Fall wäre die richtige Syntax sein:

.antMatchers("/path/{token}/**").access("@myBean.authorise(#token)") 

Ich bin nicht sicher, wenn dieser eingeführt wurde, aber ich weiß, es wird jetzt unterstützt. Referenz: https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#el-access-web-path-variables

Answer 2

denke ich, dass der nächstgelegene Sie AntPathMatcher mit bekommen können (basierend auf this) ist:

/path/????????-????-????-????-????????????/**