春のセキュリティでカスタム認証と役割を設定する

Question

私はカスタム認証と認証を設定するためにWebSecurityConfigurerAdapterを拡張しました。私は新しいAPI、 "/ v1/api"を導入しました。次のように私の要件は

1. このAPIは、「API_ROLE」の役割を持つエンティティと「API_ROLE」を持つ人は、他のAPIを呼び出すことはできないはず誰もまた
2. によって呼び出されることになっている、ありますシステム内で

私の設定はどのように見えますか？

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    http.authorizeRequests().antMatchers("/v1/api**").hasAuthority("ROLE_API"); 

上記のコードは1つの目的を達成していますが、この役割を持つユーザーを他のAPIにブロックするにはどうすればよいですか？

Answer 1

次のJava設定を使用できます。

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    http.authorizeRequests().antMatchers("/v1/api**").hasAuthority("ROLE_API") 
     .and().authorizeRequests() 
     .antMatchers("/**").not().hasAuthority("ROLE_API");