在同一配置 Spring Security 中使用 RequestHeaderRequestMatcher 和 antmactcher 基本身份验证

Question

我有这个过滤器：

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers(new RequestHeaderRequestMatcher("Caller", "Rem"));
        // add here a seconde filter condition for basic Auth
    }

在标题过滤器之后，我想在相同的配置中使用下面的标识符 inMemory 创建另一个过滤器：

 @Autowired
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .passwordEncoder(NoOpPasswordEncoder.getInstance())
            .withUser("myAccount").password("MyPassword").roles("USER");
    }

非常感谢。

Answer 1

http.httpBasic().and()
                .authorizeRequests()
                .requestMatchers(new AndRequestMatcher(new RequestHeaderRequestMatcher("Caller", "Rem"), new AntPathRequestMatcher("/hello/one")))
                .hasRole("USER")
                .and()
                .authorizeRequests().anyRequest().authenticated()
        .anyRequest().denyAll();

在您的场景中将“/hello/one”替换为“/**”。

解释：

1. 如果请求中的路径与“/hello/one”不匹配，则服务器将返回 403。
2. 如果路径匹配，它将检查身份验证，如果失败将返回 401，否则将进入下一步。
3. 如果路径匹配且身份验证成功但标头不包含值为“Rem”的“Caller”，则将返回 403。
4. 如果路径匹配，身份验证成功并且标头具有所需的键值，则将执行端点。