[导读]为控制器添加注解是非常简单的，但这往往并不是最可行的方案。有时候，我们会想要完全控制授权功能。

为控制器添加注解是非常简单的,但这往往并不是最可行的方案。有时候,我们会想要完全控制授权功能。

移除@Secured 注解,我们将会采用一种更好的方案。

通过修改SecurityConfiguration 类,我们看一下Spring Security 允许实现什么功能:@Configuration

@EnableGlobalMethodSecurity(securedEnabled = true)

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Autowired

public void configureAuth(AuthenticationManagerBuilder auth)

throws Exception {

auth.inMemoryAuthentication().withUser("user").password("user")

.roles("USER").and().withUser("admin").password("admin")

.roles("USER", "ADMIN");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.httpBasic().and().csrf().disable().authorizeRequests()

.antMatchers("/login", "/logout").permitAll()

.antMatchers(HttpMethod.GET, "/api/**").hasRole("USER")

.antMatchers(HttpMethod.POST, "/api/**").hasRole("ADMIN")

.antMatchers(HttpMethod.PUT, "/api/**").hasRole("ADMIN")

.antMatchers(HttpMethod.DELETE, "/api/**").hasRole("ADMIN")

.anyRequest().authenticated();

}

}

在前面的示例代码中,我们使用Spring Security 流畅的API,配置了应用程序的安全策略。

这个 API 通过调用相关安全功能的方法,能够在全局上配置Spring Security,这些方法可以通过and()连接起来。

我们刚刚定义的是一个基本认证,没有CSRF 保护功能。任何用户都允许发送针对“/login”和“/logout”的请求。对API 的GET 请求只允许具有USER 角色的用户访问,而对API 的POST、PUT 和DELETE 请求则只允许具有ADMIN 角色的用户访问。最后,对其他内容的访问则要求用户进行过认证,不管角色是什么,都可以进行访问。

CSRF 所代表的含义是跨站请求伪造(Cross Site Request Forgery),指的是一种攻击形式,恶意的Web 站点将会在他们的网站上展示一个表单,但是会将表单的数据POST 提交到我们的站点上。如果我们站点的用户没有退出的话,那么POST 请求能够获取用户的cookie,这样的话,就会被认为是认证过的用户。

针对 CSRF 的防护会生成短期存活的token,它会随着表单数据一起进行提交。我们会在下面的章节看到如何启用该功能,现在我们先将其禁用。参考http://docs.spring.io/spring-security/site/docs/current/ reference/htmlsingle/#csrf 来了解更多细节。

tips：如果想了解针对API 请求进行认证的更多知识,可以参考:http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#authorize-requests。