我希望我的 Spring-HATEOAS API 应用程序(基于 Spring-Boot 和 Spring-MVC 构建)配置安全性,以便默认情况下拒绝所有端点/控制器方法,并且只能通过方法注释显式授予访问权限。
我已经能够得到它,因此注释控制所有访问,但如果开发人员忘记添加注释,则匿名用户可以访问该方法。我希望开发人员必须显式注释(或执行一些其他显式开发操作)该方法以允许匿名访问。
也许我需要编写一个自定义的 AccessDecisionManager,但我认为有理由怀疑默认情况下的拒绝行为是烘焙的......我只需要转动正确的旋钮。
我一直在徒劳地尝试这样做:
@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest()
.hasRole("NOONEHASIT")
;
}
}
和一个控制器,如:
@Controller
public class RootController {
@RequestMapping("/")
@PreAuthorize("hasRole('DEFAULT') or isAnonymous()")
public HttpEntity<RootResource> root(){
//stuff
}
}
认为没有人有这个角色,但这只是否认每个人。
有人有魔法酱吗?