Java Spring Security：多个HTTP配置不起作用

Java Spring Security：多个HTTP配置不起作用

看一下Spring Security Reference：

@EnableWebSecuritypublic class MultiHttpSecurityConfig {  @Autowired  public void configureGlobal(AuthenticationManagerBuilder auth) { 1      auth          .inMemoryAuthentication()   .withUser("user").password("password").roles("USER").and()   .withUser("admin").password("password").roles("USER", "ADMIN");  }  @Configuration  @Order(1) 2  public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {      protected void configure(HttpSecurity http) throws Exception {          http   .antMatcher("/api/**")         3   .authorizeRequests()       .anyRequest().hasRole("ADMIN")       .and()   .httpBasic();      }  }      @Configuration       4  public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {      @Override      protected void configure(HttpSecurity http) throws Exception {          http   .authorizeRequests()       .anyRequest().authenticated()       .and()   .formLogin();      }  }}

1正常配置身份验证

2创建一个

WebSecurityConfigurerAdapter

包含的实例，

@Order

以指定

WebSecurityConfigurerAdapter

应首先考虑的对象。

3

http.antMatcher

指出这

HttpSecurity

仅适用于以开头的

URL/api/

4创建的另一个实例

WebSecurityConfigurerAdapter

。如果

URL

不以

/api/

该配置开头，则将使用此配置。此配置被认为是之后的，

ApiWebSecurityConfigurationAdapter

因为它的

@Order

值是

after 1（

没有

@Order

默认值是last）。

您的第二个配置未使用，因为您的第一个配置匹配

/**

（未antMatcher配置）。而且您的第一个配置仅限制

/admin/**

，默认情况下允许所有其他URL。