通過Spring Boot進行對休息服務的訪問控制
[英]Access control to rest services with spring-boot
問題描述
我對彈簧靴的安全性有所了解。 我使用mongodb,spring-boot-starter-data-rest,spring-boot-starter-security和spring-boot-starter-web。 我使用了諸如REST服務之類的自動expos存儲庫的可能性。 我有兩個存儲庫用戶和客戶。 用戶存儲庫用於帳戶。 像這樣擴展WebSecurityConfigurerAdapter之后:
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
http.authorizeRequests()
.antMatchers("/users/**")
.hasRole("ADMIN").antMatchers("/", "/customers")
.hasRole("USER")
.anyRequest().authenticated()
.and()
.formLogin().permitAll();
}
A無法控制具有ADMIN角色的用戶對/ users /頁面的訪問。 訪問服務時我獲得了身份驗證,但是每個用戶(包括每個角色)都可以在任何地方訪問。 應該配置什么?
1 個解決方案
解決方案1
1 已采納 2016-10-07 08:24:47
聽起來您需要研究一下Spring Security的“ 方法安全性表達式”功能。 特別是注釋@PreAuthorize / @PostAuthorize 。
如何在 Spring-boot 中成功登錄后限制 POST Rest Api 進行公共訪問
[英]How to restrict POST Rest Api for public access after successful login in Spring-boot
Spring Boot 應用程序中對 REST 端點的自定義訪問控制
[英]Custom access control to REST endpoints in a Spring Boot application
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Java Spring-Boot 訪問控制允許來源錯誤
春季啟動服務經常關閉
spring-boot REST 響應的最佳實踐
Spring-boot + REST + HATEOAS + HAL
單元測試 Spring-boot Rest Controller
如何使用spring-boot創建REST服務?
如何在 Spring-boot 中成功登錄后限制 POST Rest Api 進行公共訪問
Java spring-boot 頁面訪問問題
Spring Boot 應用程序中對 REST 端點的自定義訪問控制
Spring boot REST API 中基於角色的字段級訪問控制
相關標簽