URL restrito do spring-boot
-
21-12-2019 - |
Pergunta
Bom dia, eu tenho um aplicativo Spring-Boot 1.1.4.Release, que está usando a segurança da mola incluída como dependências como:
compile("org.springframework.boot:spring-boot-starter-security")
compile("org.springframework.security:spring-security-web:4.0.0.M1")
compile("org.springframework.security:spring-security-config:4.0.0.M1")
compile('org.thymeleaf.extras:thymeleaf-extras-springsecurity3:2.1.1.RELEASE')
Tenho dois tipos de funções:"Usuário" e "Administrador".Este último tem tudo o anterior, mas também acesso a uma tela de administração.Na minha página do Thymeleaf, eu só exibo esse link para usuários com função de administrador via, o que funciona perfeitamente:
<li sec:authorize="hasRole('ADMIN')">
<i class="fa fa-link"></i><a th:href="@{/admin}">
Administer User</a>
</li>
No entanto, se eu digitar manualmente o URL dessa página (http://localhost:9001/admin
), todas as funções podem acessá-lo.Achei que estava controlando isso por meio da classe Configuração de segurança:
@Configuration
@EnableWebMvcSecurity
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUserDetailsService customUserDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers( "/" ).permitAll()
.antMatchers("/admin/").hasRole("ADMIN") <== also tried .antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers( "/resources/**" ).permitAll()
.antMatchers( "/css/**" ).permitAll()
.antMatchers( "/libs/**" ).permitAll();
http
.formLogin().failureUrl( "/login?error" )
.defaultSuccessUrl( "/" )
.loginPage( "/login" )
.permitAll()
.and()
.logout().logoutRequestMatcher( new AntPathRequestMatcher( "/logout" ) ).logoutSuccessUrl( "/" )
.permitAll();
http
.sessionManagement()
.maximumSessions( 1 )
.expiredUrl( "/login?expired" )
.maxSessionsPreventsLogin( true )
.and()
.sessionCreationPolicy( SessionCreationPolicy.IF_REQUIRED )
.invalidSessionUrl( "/" );
http
.authorizeRequests().anyRequest().authenticated();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
PasswordEncoder encoder = new BCryptPasswordEncoder();
auth.userDetailsService( customUserDetailsService ).passwordEncoder( encoder );
}
}
Há algo faltando ou incorreto na minha configuração?
Atualizar:A solução que usei, com base na resposta de Dave, foi usar as três linhas a seguir:
.antMatchers( "/admin**" ).hasAuthority("ADMIN" )
.antMatchers( "/admin/" ).hasAuthority( "ADMIN" )
.antMatchers( "/admin/**" ).hasAuthority( "ADMIN" )
Isso gerará um erro 403 no navegador.Eventualmente, tentarei redirecioná-lo para uma página de erro ou "/'.
Solução
Você protegeu explicitamente apenas "/admin/" (com uma barra final).Imagino que você precise ser mais preciso do que isso se estiver visitando "/admin" (sem barra final).