HttpSecurity, WebSecurity e AuthenticationManagerBuilder

Question

Qualcuno potrebbe spiegare quando eseguire l'override di configure(HttpSecurity), configure(WebSecurity) e configure(AuthenticationManagerBuilder)?

Answer 1

configure (AuthenticationManagerBuilder) viene utilizzato per stabilire un meccanismo di autenticazione consentendo ad AuthenticationProviders di essere aggiunto facilmente: ad es. Quanto segue definisce l'autenticazione in memoria con gli accessi "utente" e "admin" integrati.

public void configure(AuthenticationManagerBuilder auth) { 
    auth 
     .inMemoryAuthentication() 
     .withUser("user") 
     .password("password") 
     .roles("USER") 
    .and() 
     .withUser("admin") 
     .password("password") 
     .roles("ADMIN","USER"); 
} 

configure (HttpSecurity) permette di configurare web based di sicurezza a livello di risorse, sulla base di una partita di selezione - per esempio L'esempio seguente limita gli URL che iniziano con/admin/per gli utenti con ruolo ADMIN e dichiara che tutti gli altri URL devono essere autenticati correttamente.

protected void configure(HttpSecurity http) throws Exception { 
    http 
     .authorizeUrls() 
     .antMatchers("/admin/**").hasRole("ADMIN") 
     .anyRequest().authenticated() 
} 

configure (WebSecurity) viene utilizzato per le impostazioni di configurazione che influiscono sicurezza globale (ignorare le risorse, modalità di debug impostato, rifiutare le richieste mediante l'attuazione di una definizione firewall personalizzato). Ad esempio, il metodo seguente causerebbe qualsiasi richiesta che inizia con/resources/per essere ignorata ai fini dell'autenticazione.

public void configure(WebSecurity web) throws Exception { 
    web 
     .ignoring() 
     .antMatchers("/resources/**"); 
} 

È possibile fare riferimento al seguente link per ulteriori informazioni Spring Security Java Config Preview: Web Security