1. дома
  2. Вопрос и ответ
  3. Spring Security session/xsrf configuration by path

Spring Security session/xsrf configuration by path

2016-09-11 4 views
0

У меня есть существующее веб-приложение, которое использует весеннюю безопасность для аутентификации. Он также использует управление сеансом, чтобы позволить пользователю войти в систему в течение предопределенного периода времени и жетоны XSRF для предотвращения атак XSS.Spring Security session/xsrf configuration by path

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    // @formatter:off 
    http 
    .exceptionHandling() 
     .authenticationEntryPoint(restEntryPoint()) 
    .and() 
    .headers().addHeaderWriter(new StaticHeadersWriter("Server","")) 
    .and() 
    .httpBasic() 
     .authenticationEntryPoint(restEntryPoint()) 
    .and() 
    .logout().addLogoutHandler(myLogoutHandler()) 
    .logoutSuccessHandler(logoutSuccessHandler()) 
    .and() 
    .authorizeRequests() 
     .antMatchers("/index.html", "/login", "/").permitAll() 
     .antMatchers(HttpMethod.OPTIONS).denyAll() 
     .antMatchers(HttpMethod.HEAD).denyAll() 
     .anyRequest().authenticated() 
    .and() 
    .authenticationProvider(myAuthenticationProvider) 
     .csrf() 
      .csrfTokenRepository(csrfTokenRepository()) 
    .and() 
    .addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); 
    // @formatter:on 
}

Это отлично работает для веб-приложения. Однако теперь мне предлагается добавить конфигурацию, которая позволит сторонним клиентским приложениям вызывать мои сервисы с помощью чистых вызовов REST, то есть они должны быть полностью безстоящими и использовать HTTP-аутентификацию - сеанс не должен быть создан, а xsrf должен быть отключен (I думать...).

Я могу определить общий путь URL для всех этих вызовов клиентского API. Но как я могу использовать существующую конфигурацию безопасности и сервер для поддержки обоих требований?

источник

2016-09-11 odedia

ответ

0

Отвечая на мой собственный вопрос ...

Spring Security позволяет использовать несколько конфигураций на основе порядка. В документации, он дает следующий пример:

@EnableWebSecurity 
public class MultiHttpSecurityConfig { 
    @Autowired 
    public void configureGlobal(AuthenticationManagerBuilder auth) { 1 
     auth 
      .inMemoryAuthentication() 
       .withUser("user").password("password").roles("USER").and() 
       .withUser("admin").password("password").roles("USER", "ADMIN"); 
    } 

    @Configuration 
    @Order(1)              2 
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter { 
     protected void configure(HttpSecurity http) throws Exception { 
      http 
       .antMatcher("/api/**")        3 
       .authorizeRequests() 
        .anyRequest().hasRole("ADMIN") 
        .and() 
       .httpBasic(); 
     } 
    } 

    @Configuration             4 
    public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter { 

     @Override 
     protected void configure(HttpSecurity http) throws Exception { 
      http 
       .authorizeRequests() 
        .anyRequest().authenticated() 
        .and() 
       .formLogin(); 
     } 
    } 
}

В приведенном выше примере/апи будет разрешен только для ролей администратора, в то время как другие пути будут настроены FormLoginWebSecurityConfigurerAdapter по умолчанию.

См. Больше на this URL:

источник

2016-09-11 14:23:58 odedia

Смежные вопросы

 Смежные вопросы