Spring security -使用特定的匹配器创建2个过滤链

Spring Security - 使用特定的匹配器创建两个过滤链

基础概念

Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它允许开发者为基于 Spring 的应用程序提供安全控制。过滤链（Filter Chain）是 Spring Security 中的一个重要概念，它由一系列过滤器（Filter）组成，这些过滤器按照特定的顺序执行，以处理请求和响应。

类型

Spring Security 支持多种类型的过滤器，包括但不限于：

Authentication Filters：用于身份验证。
Authorization Filters：用于授权检查。
Exception Translation Filters：用于将底层安全异常转换为 Spring Security 的异常。
Filter Security Interceptor：用于在方法级别进行安全检查。

应用场景

在需要为不同的 URL 模式或请求类型应用不同的安全策略时，使用多个过滤链非常有用。例如：

对于 API 端点，可能需要基于令牌的身份验证。
对于管理界面，可能需要基于表单的身份验证和更严格的授权检查。

示例代码

以下是一个示例，展示如何使用特定的匹配器创建两个过滤链：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/api/**")
                .authorizeRequests()
                    .antMatchers("/api/public/**").permitAll()
                    .anyRequest().authenticated()
                    .and()
                .httpBasic()
            .and()
            .securityMatcher("/admin/**")
                .authorizeRequests()
                    .antMatchers("/admin/**").hasRole("ADMIN")
                    .and()
                .formLogin()
                .loginPage("/admin/login")
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

解释

securityMatcher：用于定义过滤链的匹配器。/api/** 匹配所有以 /api/ 开头的请求，/admin/** 匹配所有以 /admin/ 开头的请求。
authorizeRequests：用于配置 URL 的访问权限。
httpBasic：用于基于 HTTP 基本身份验证的安全策略。
formLogin：用于基于表单的身份验证。