【发布时间】:2017-08-06 01:17:40
【问题描述】:
使用 Spring Boot 1.5.2.RELEASE 和 Java 8
我试图了解,public void configure(HttpSecurity http) 的 WebSecurityConfigurerAdapter 和 ResourceServerConfigurerAdapter 的方法是什么?
使用以下代码,ResourceServerConfigurerAdapter 的 configure(HttpSecurity http) 方法优先于 WebSecurityConfigurerAdapter。我在ResourceServerConfiguration 中所做的所有更改都正在生效,看来WebSecurityConfigurerAdapter 被完全忽略了。
我们什么时候使用这些方法(用例)?而且,即使是授权类型password 也需要覆盖WebSecurityConfigurerAdapter.configure(..) 方法
使用security.oauth2.resource.filter-order = 3
如果没有这个属性,我会不断收到403 Access Denied
OAuth2 资源过滤器的默认顺序已从 3 更改为 SecurityProperties.ACCESS_OVERRIDE_ORDER - 1
网络安全配置
@Configuration
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/unsecured").permitAll()
.antMatchers("/users").hasRole("USER")
.antMatchers("/api/secured").hasRole("ADMIN")
.antMatchers("/api/admin").authenticated()
.antMatchers("/greeting").authenticated();
}
}
资源服务器
@Configuration
@EnableResourceServer
protected static class ResourceServerConfiguration extends
ResourceServerConfigurerAdapter {
public void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.anyRequest().permitAll();
}
}
【问题讨论】:
标签: java spring spring-security oauth oauth-2.0