Printemps de sécurité d'autoriser la demande d'url & méthode à l'aide de HttpSecurity

Est-il de toute façon à autoriser une requête post vers une url spécifique à l'aide de org.springframework.security.config.annotation.web.builders.HttpSecurity ?

Je suis en utilisant HttpSecuritycomme:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .addFilterAfter(new CsrfCookieGeneratorFilter(), CsrfFilter.class)
            .exceptionHandling()
            .authenticationEntryPoint(authenticationEntryPoint)
        .and()
            .rememberMe()
            .rememberMeServices(rememberMeServices)
            .key(env.getProperty("jhipster.security.rememberme.key"))
        .and()
            .formLogin()
            .loginProcessingUrl("/api/authentication")
            .successHandler(ajaxAuthenticationSuccessHandler)
            .failureHandler(ajaxAuthenticationFailureHandler)
            .usernameParameter("j_username")
            .passwordParameter("j_password")
            .permitAll()
        .and()
            .logout()
            .logoutUrl("/api/logout")
            .logoutSuccessHandler(ajaxLogoutSuccessHandler)
            .deleteCookies("JSESSIONID")
            .permitAll()
        .and()
            .headers()
            .frameOptions()
            .disable()
            .authorizeRequests()
                .antMatchers("/api/register").permitAll()
                .antMatchers("/api/activate").permitAll()
                .antMatchers("/api/authenticate").permitAll()
                .antMatchers("/api/logs/**").hasAuthority(AuthoritiesConstants.ADMIN)
                .antMatchers("/api/subscriptions").permitAll()
                .antMatchers("/api/**").authenticated();
}

Je voudrais autoriser les requêtes POST /api/abonnement chemin. Seul POST.
Merci.

InformationsquelleAutor ilopezluna | 2015-03-06

55

Prendre un coup d'oeil ici https://github.com/spring-projects/spring-data-examples/tree/master/rest/security qui a
```
http
  .httpBasic().and()
  .authorizeRequests()
    .antMatchers(HttpMethod.POST, "/employees").hasRole("ADMIN")
    .antMatchers(HttpMethod.PUT, "/employees/**").hasRole("ADMIN")
    .antMatchers(HttpMethod.PATCH, "/employees/**").hasRole("ADMIN");
```
- Mis à jour pour exclure les csrf désactiver ce qui a été copié à partir de la référencées code. Cela a également été discuté dans une autre réponse
InformationsquelleAutor Matt C
5

Je sais que cette question est un peu vieux, mais je ne crois pas que la désactivation de csrf de soutien est une réponse acceptable. J'ai eu ce même problème, mais ne se sentent pas à la bonne mesure à l'aide de csrf.disable(). Au lieu de cela, j'ai ajouté la ligne suivante au bas de la page à l'intérieur des balises de formulaire.
```
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
```
- Bon point, je vais mettre à jour ma réponse que le csrf partie n'est pas pertinente pour la question d'origine. Ceci a été pris comme est un exemple documenté de faire des appels de repos plutôt que de web, comme ici, github.com/spring-projects/spring-data-examples/blob/master/...
InformationsquelleAutor Patrick

Il suffit de Mentionner le chemin que vous devez supprimer l'Authentification comme ce

    http
       .httpBasic().and()
       .authorizeRequests()
       .antMatchers("/employees" , "/employees/**")
       .permitAll().anyRequest().authenticated()
       .and().csrf().disable()

InformationsquelleAutor Akitha_MJ

Vous devez vous connecter pour publier un commentaire.