具有可更改URL用户ID的antMatchers Spring安全模式

这对我有用：

antMatchers("/account/{\\d+}/download").access("hasAnyAuthority('ROLE_TOKENSAVED')")

请注意表示 ID 的路径变量周围的大括号。

虽然博胡斯拉夫的建议有效，但它并不完整。根据AntPathMarcher的文档：http://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/util/AntPathMatcher.html

您需要使用正则表达式指定路径变量：

{spring:[a-z]+} matches the regexp [a-z]+ as a path variable named "spring"

如果不这样做，则可能会公开其他路由。例如：

    .authorizeRequests()
        .antMatchers(HttpMethod.GET, "/users/{^[\\d]$}").authenticated()
        .antMatchers("/users/**").hasAuthority("admin")

和用户控制器上的这些方法：

@ResponseBody
@RequestMapping(value = "/users/{userId}", method = RequestMethod.GET)
public User getUser(@PathVariable("userId") Object id) {
    return userService.getUserById(userId);
}

@ResponseBody
@RequestMapping(value = "/users/roles", method = RequestMethod.GET)
public List<String> getAllRoles() {
    return userService.getAllRoles();
}

由于您没有指定路径变量，因此用户将能够在没有管理员权限的情况下对“/users/roles”执行 GET 请求。此外，即使需要管理员授权，“/users/test”等其他期货路由也将公开。为防止这种情况发生，userId

antMatchers("/account/{accountId:\\d+}/download")
       .access("hasAnyAuthority('ROLE_TOKENSAVED')")

如果路径变量的名称为“accountId”