spring-security 多个WebSecurityConfigurerAdapter在 Spring Boot 中用于多种模式

omjgkv6w  于 2022-11-11  发布在  Spring
关注(0)|答案(1)|浏览(237)

我正在尝试为我的项目设置多个WebsecurityConfigurerAdapter,其中Sping Boot 执行器API使用基本身份验证进行保护,所有其他端点使用JWtAuthentication进行身份验证。我只是无法使它们一起工作,只有较低顺序的配置可以工作。我使用的是Spring Boot 2.1.5.RELEASE
具有JWT验证器的安全配置1

@Order(1)
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private static final String[] AUTH_WHITELIST = {
        "/docs/**",
        "/csrf/**",
        "/webjars/**",
        "/**swagger**/**",
        "/swagger-resources",
        "/swagger-resources/**",
        "/v2/api-docs"
    };

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers(AUTH_WHITELIST).permitAll()
            .antMatchers("/abc/**", "/abc/pdf/**").hasAuthority("ABC")
            .antMatchers("/ddd/**").hasAuthority("DDD")
            .and()
            .csrf().disable()
            .oauth2ResourceServer().jwt().jwtAuthenticationConverter(new GrantedAuthoritiesExtractor());
   }
}

使用用户名/密码的基本身份验证配置

@Order(2)
@Configuration
public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter {

/*    @Bean
public UserDetailsService userDetailsService(final PasswordEncoder encoder) {
    final InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
    manager.createUser(
            User
                    .withUsername("user1")
                    .password(encoder.encode("password"))
                    .roles("ADMIN")
                    .build()
    );
    return manager;
}

@Bean PasswordEncoder encoder(){
    return new BCryptPasswordEncoder();
}*/

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/actuator/**").hasRole("ADMIN")
            .and()
            .httpBasic();
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().withUser("user1").password("password").authorities("ADMIN");
  }
}

我已经试着让它工作很多天了,但是不能让它们两个一起工作。如果我交换顺序,只有基本的auth工作,而不是jwtauth管理器。
我经历过很多SOF问题,比如
[1][2][3][4][5][5][6][7][8][9]
[1][2][3][4][5][6][7][8][9][10]
[1][2][3][4]
[1][2][3][4]
似乎没有任何工作,这是Spring中的已知问题吗?

7gcisfzg

7gcisfzg1#

要使用多个WebsecurityConfigurerAdapter,您需要使用RequestMatcher将它们限制为特定的URL模式。
在您的情况下,您可以为ActuatorSecurityConfig设置更高的优先级,并将其限制为仅适用于执行器端点:

@Order(-1)
@Configuration
public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .requestMatchers().antMatchers("/actuator/**")
                .and()
                .authorizeRequests().anyRequest().hasRole("ADMIN")
                .and()
                .httpBasic();
    }
}

相关问题