Запрос авторизации Spring security для url & метода с использованием HttpSecurity

Question

Запрос авторизации Spring security для url & метода с использованием HttpSecurity

есть ли способ авторизовать запрос post на определенный url-адрес с помощью org.springframework.security.config.annotation.web.builders.HttpSecurity ?

Я использую HttpSecurityas:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .addFilterAfter(new CsrfCookieGeneratorFilter(), CsrfFilter.class)
            .exceptionHandling()
            .authenticationEntryPoint(authenticationEntryPoint)
        .and()
            .rememberMe()
            .rememberMeServices(rememberMeServices)
            .key(env.getProperty("jhipster.security.rememberme.key"))
        .and()
            .formLogin()
            .loginProcessingUrl("/api/authentication")
            .successHandler(ajaxAuthenticationSuccessHandler)
            .failureHandler(ajaxAuthenticationFailureHandler)
            .usernameParameter("j_username")
            .passwordParameter("j_password")
            .permitAll()
        .and()
            .logout()
            .logoutUrl("/api/logout")
            .logoutSuccessHandler(ajaxLogoutSuccessHandler)
            .deleteCookies("JSESSIONID")
            .permitAll()
        .and()
            .headers()
            .frameOptions()
            .disable()
            .authorizeRequests()
                .antMatchers("/api/register").permitAll()
                .antMatchers("/api/activate").permitAll()
                .antMatchers("/api/authenticate").permitAll()
                .antMatchers("/api/logs/**").hasAuthority(AuthoritiesConstants.ADMIN)
                .antMatchers("/api/subscriptions").permitAll()
                .antMatchers("/api/**").authenticated();
}

Я хотел бы разрешить POST-запросы к/api / пути подписки. Только пост. Спасибо.

24

jhipster spring spring-java-config spring-security

автор: ilopezluna

2 ответов

автор: Matt C · Accepted Answer · 2016-02-29 17:24:41

посмотреть здесь https://github.com/spring-projects/spring-data-examples/tree/master/rest/security имеющего

http
  .httpBasic().and()
  .authorizeRequests()
    .antMatchers(HttpMethod.POST, "/employees").hasRole("ADMIN")
    .antMatchers(HttpMethod.PUT, "/employees/**").hasRole("ADMIN")
    .antMatchers(HttpMethod.PATCH, "/employees/**").hasRole("ADMIN");

автор: Patrick · Accepted Answer · 2016-02-26 01:24:31

Я знаю, что этот вопрос немного старый, но я не считаю, что отключение поддержки csrf является приемлемым ответом. У меня была такая же проблема, но я не чувствую себя хорошо, используя csrf.отключать.)( Вместо этого я добавил следующую строку в нижней части страницы внутри формы теги.

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />