SpringセキュリティfullyAuthenticated（）とhasRole（ "ADMIN"）

Question

完全に認証された誰かがアクセスできるURLとadmin URLを完全に認証された管理者がアクセスできるようにアプリケーションを保護したいと考えています。

今は、fullyAuthenticaded() AND hasrole()を一緒に使用する方法を見つけることができません。

@Override 
public void configure(HttpSecurity http) throws Exception { 
    http 
     .requestMatchers() 
      .antMatchers("/api/**", "/health") 
      .and() 
     .authorizeRequests() 
      .antMatchers("/health").permitAll() 
      .and() 
     .authorizeRequests() 
      .antMatchers("/api/get-data").fullyAuthenticated() 
      .and() 
     .authorizeRequests() 
      .anyRequest().hasRole("ADMIN"); 
} 

Answer 1

あなたはこのような何か書くことができます。

antMatchers（ "/ API/GET-データ"）アクセス（ "isFullyAuthenticated（）とhasRoleも（ 'ROLE_BANNED'）"）

これは、xmlファイルで定義したときにアクセス権を書き込んでいるようです。同じことがここにあります。

これで、antMatchesには、isFullyAuthenticatedだけのURLと、adminロールとisFullyAuthenticatedを持つ別のantMatchesのURLを定義できます。

詳細についてはthisとthisをお読みください。