Authorize ServerHttpRequest

Spring Security 提供授权传入 HTTP 请求的支持。默认情况下,Spring Security 的授权要求所有请求都经过身份验证。显式配置如下所示:

All Requests Require Authenticated User
  • Java

  • Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    http
        .authorizeExchange(exchanges -> exchanges
            .anyExchange().authenticated()
        )
        .httpBasic(withDefaults())
        .formLogin(withDefaults());
    return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
        formLogin { }
        httpBasic { }
    }
}

我们可以通过按优先级添加更多规则来配置 Spring Security 使其拥有不同的规则。

Multiple Authorize Requests Rules
  • Java

  • Kotlin

import static org.springframework.security.authorization.AuthorityReactiveAuthorizationManager.hasRole;
// ...
@Bean
SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.authorizeExchange((authorize) -> authorize                          (1)
			.pathMatchers("/resources/**", "/signup", "/about").permitAll()  (2)
			.pathMatchers("/admin/**").hasRole("ADMIN")                      (3)
			.pathMatchers("/db/**").access((authentication, context) ->      (4)
				hasRole("ADMIN").check(authentication, context)
					.filter(decision -> !decision.isGranted())
					.switchIfEmpty(hasRole("DBA").check(authentication, context))
			)
			.anyExchange().denyAll()                                         (5)
		);
	return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        authorizeExchange {                                                           (1)
            authorize(pathMatchers("/resources/**", "/signup", "/about"), permitAll)  (2)
            authorize("/admin/**", hasRole("ADMIN"))                                  (3)
            authorize("/db/**", { authentication, context ->                          (4)
                hasRole("ADMIN").check(authentication, context)
                    .filter({ decision -> !decision.isGranted() })
                    .switchIfEmpty(hasRole("DBA").check(authentication, context))
            })
            authorize(anyExchange, denyAll)                                           (5)
        }
        // ...
    }
}
1 已指定多个授权规则,每个规则按照声明的顺序考虑。
2 我们指定了任何用户都可以访问的多 URL 模式。具体而言,任何用户都可以访问请求,如果 URL 以 "/resources/" 开头、等于 "/signup" 或等于 "/about"。
3 以 "/admin/" 开头的任何 URL 都将限制为拥有 "ROLE_ADMIN" 权限的用户。您会注意到,由于我们调用了 `hasRole`方法,因此我们不需要指定 "ROLE_" 前缀。
4 以 "/db/" 开头的任何 URL 要求用户同时拥有 "ROLE_ADMIN" 和 "ROLE_DBA"。这展示了我们提供的自定义 `ReactiveAuthorizationManager`的灵活性,允许我们实施任意的授权逻辑。为了简单起见,示例使用了一个 lambda 并委托给现有的 `AuthorityReactiveAuthorizationManager.hasRole`实现。但是在实际情况下,应用程序可能会在实现 `ReactiveAuthorizationManager`的适当类中实现逻辑。
5 对于尚未匹配到的任何 URL,都会拒绝访问。如果你不想忘记意外更新授权规则,这是一个好策略。