Phương pháp tùy chỉnh bảo mật mùa xuân với biến đường dẫn và đối sánh kiến ​​

Question

Tôi đang sử dụng khởi động mùa xuân, web MVC và bảo mật mùa xuân với cấu hình java. URL của tôi là 'RESTful' và muốn thêm phương thức ủy quyền tùy chỉnh.

Ví dụ:

.antMatchers("/path/*/**").access("@myBean.authorise()") 

tôi muốn đạt được một cái gì đó như thế này:

.antMatchers("/path/{token}/**").access("@myBean.authorise(token)") 

Tôi hiểu rằng tôi có thể vượt qua trong HttpServletRequest và tự tước con đường, nhưng muốn tránh điều này ! Ngoài ra không quá quan tâm đến mức độ bảo mật phương pháp, thay vì sẽ giữ cấu hình ở một nơi như tôi có nhiều bộ điều khiển.

Cảm ơn!

Answer 1

Bạn có thể truy cập các biến con đường, chỉ cần tiền tố họ với #. Trong trường hợp của bạn, cú pháp chính xác sẽ là:

.antMatchers("/path/{token}/**").access("@myBean.authorise(#token)") 

Tôi không chắc khi nào được giới thiệu, nhưng tôi biết nó hiện được hỗ trợ. Tham chiếu: https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#el-access-web-path-variables

Answer 2

Tôi nghĩ rằng gần nhất bạn có thể nhận được bằng AntPathMatcher (dựa trên this) là:

/path/????????-????-????-????-????????????/**