Весенняя безопасность для контроллеров REST

Question

Я работаю с Spring MVC и Spring для своих контроллеров REST и документации. Я хотел бы защитить три различных пути:

• "/ API/**"
• "/ API-документы"
• «/ апи-документация»

Очевидно, что этот код работает только для последнего: «/ api-documentation». Я также пробовал antMatchers («/ api/**», «/ api-docs», «/ api-documentation»), но я не знаю, как настроить это правильно. Любые идеи?

http 
    .csrf().disable() 
    .exceptionHandling().authenticationEntryPoint(entryPoint()) 
    .and()     
    .antMatcher("/api/**")    
    .antMatcher("/api-docs") 
    .antMatcher("/api-documentation") 
    .authorizeRequests() 
    .anyRequest().hasRole("REST") 
    .and() 
    .httpBasic(); 

Answer 1

Для этого сценария просто необходимо было изменить антемачер на .antMatcher("/api*"), удалив остальные два.

Answer 2

Вы должны указать, кто может получить доступ к указанному пути:

.antMatchers("/api/**").permitAll() 
.antMatchers("/api-docs").hasRole("ADMIN") 

Answer 3

Вот некоторые пути согласования предложений.

"/api/**" будет соответствовать всем методам, как /api/x/y.

"/api-docs" будет соответствовать только /api-docs. Аналогично /api-documentation.

Если вы добавите "/api-docs/*" Будет отображено /api-docs/x.

someusefulresources на муравьиных узорах.

Поэтому что-то подобное,

http 
.csrf().disable() 
.exceptionHandling().authenticationEntryPoint(entryPoint()) 
.and()     
.antMatchers("/api/**","/api-docs","/api-documentation") 
.authorizeRequests() 
.anyRequest().hasRole("REST") 
.and() 
.httpBasic(); 

должны работать, в соответствии с вашими требованиями спецификации пути.