验证请求
我们的例子中要求用户进行身份验证并且在我们应用程序的每个URL这样做。我们可以通过给http.authorizeRequests()
添加多个子节点来指定多个定制需求到我们的URL。例如:
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests() //1
.antMatchers("/resources/**", "/signup", "/about").permitAll() //2
.antMatchers("/admin/**").hasRole("ADMIN") //3
.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')") 4
.anyRequest().authenticated() //5
.and()
// ...
.formLogin();
}
http.authorizeRequests()
方法有多个子节点,每个macher按照他们的声明顺序执行。- 我们指定任何用户都可以访问的多个URL模式。任何用户都可以访问URL以 “/resources/“,开头的URL ,以及”/signup”, “/about”.
- 以”/admin/“ 开头的URL只能由拥有 “ROLEADMIN”角色的用户访问. 请注意我们使用HasRole方法,没有使用ROLE前缀。
- 任何以/db/开头的URL需要用户同时具有”ROLEADMIN” 和 “ROLE_DBA”. 和上面一样我们的hasRole方法也没有使用ROLE前缀。
- 尚未匹配的任何URL要求用户进行身份验证