弹簧安全：多个HTTP配置不起作用

security java spring spring-mvc spring-security

2022-09-01 16:49:16

我正在尝试使用Spring Security，并且我有一个用例，我希望保护不同的登录页面和不同的URL集。

这是我的配置：

@Configuration
@Order(1)
public static class ProviderSecurity extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .antMatchers("/admin/login").permitAll()
                .antMatchers("/admin/**").access("hasRole('BASE_USER')")
                .and()
            .formLogin()
                .loginPage("/admin/login").permitAll()
                .defaultSuccessUrl("/admin/home")
                .failureUrl("/admin/login?error=true").permitAll()
                .usernameParameter("username")
                .passwordParameter("password")
                .and()
            .csrf()                    
                .and()
            .exceptionHandling().accessDeniedPage("/Access_Denied");            
    }
}


@Configuration
@Order(2)
public static class ConsumerSecurity extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/consumer/login").permitAll()
                .antMatchers("/consumer/**").access("hasRole('BASE_USER')")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/consumer/login").permitAll()
                .defaultSuccessUrl("/consumer/home")
                .failureUrl("/consumer/login?error=true").permitAll()
                .usernameParameter("username")
                .passwordParameter("password")
                .and().csrf()                
                .and()
            .exceptionHandling().accessDeniedPage("/Access_Denied");
    }
}

这些类是具有注释的另一个类的内部类。MultipleHttpSecurityConfig@EnableWebSecurity

的安全性工作正常，但没有一个页面是安全的，登录页面没有发生重定向。我搜索了其他答案，但没有一个有效。admin/**consumer/**

答案 1

查看春季安全参考：

@EnableWebSecurity
public class MultiHttpSecurityConfig {
  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) { 1
      auth
          .inMemoryAuthentication()
              .withUser("user").password("password").roles("USER").and()
              .withUser("admin").password("password").roles("USER", "ADMIN");
  }

  @Configuration
  @Order(1)                                                        2
  public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
      protected void configure(HttpSecurity http) throws Exception {
          http
              .antMatcher("/api/**")                               3
              .authorizeRequests()
                  .anyRequest().hasRole("ADMIN")
                  .and()
              .httpBasic();
      }
  }    

  @Configuration                                                   4
  public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

      @Override
      protected void configure(HttpSecurity http) throws Exception {
          http
              .authorizeRequests()
                  .anyRequest().authenticated()
                  .and()
              .formLogin();
      }
  }
}

1 正常配置身份验证

2 创建包含的实例以指定应首先考虑哪个。WebSecurityConfigurerAdapter@OrderWebSecurityConfigurerAdapter

3 声明这仅适用于以http.antMatcherHttpSecurity/api/

4 创建的另一个实例。如果 URL 不以此配置开头，则将使用此配置。此配置在之后考虑，因为它在之后有一个值（没有默认值持续）。WebSecurityConfigurerAdapter/api/ApiWebSecurityConfigurationAdapter@Order1@Order

不使用第二个配置，因为第一个配置匹配（未配置）。并且您的第一个配置仅限制，默认情况下允许所有其他 URL。/**antMatcher/admin/**

答案 2

你的第一个WebSecurityConfigurerAdapter

http
            .authorizeRequests()

匹配所有 URL，请使用将其限制为仅以开头的 URL：/adminantMatcher

@Configuration
@Order(1)
public static class ProviderSecurity extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/admin/**")
                .authorizeRequests()
                .antMatchers("/admin/login").permitAll()
                .antMatchers("/admin/**").access("hasRole('BASE_USER')")
                .and()

                ...