授权 HTTP 请求 (Authorize HTTP Requests) _ Spring Security 6.3.1 中文文档(官方文档中文翻译) —

Spring Security 支持授权传入的 HTTP 请求。默认情况下，Spring Security 的授权将要求对所有请求进行身份验证。显式配置如下所示：Spring中文文档

所有请求都需要经过身份验证的用户

JavaSpring中文文档
KotlinSpring中文文档

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    http
        .authorizeExchange(exchanges -> exchanges
            .anyExchange().authenticated()
        )
        .httpBasic(withDefaults())
        .formLogin(withDefaults());
    return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        authorizeExchange {
            authorize(anyExchange, authenticated)
        }
        formLogin { }
        httpBasic { }
    }
}

我们可以通过按优先级顺序添加更多规则来配置 Spring Security 以具有不同的规则。Spring中文文档

多个授权请求规则

JavaSpring中文文档
KotlinSpring中文文档

import static org.springframework.security.authorization.AuthorityReactiveAuthorizationManager.hasRole;
// ...
@Bean
SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.authorizeExchange((authorize) -> authorize                          (1)
			.pathMatchers("/resources/**", "/signup", "/about").permitAll()  (2)
			.pathMatchers("/admin/**").hasRole("ADMIN")                      (3)
			.pathMatchers("/db/**").access((authentication, context) ->      (4)
				hasRole("ADMIN").check(authentication, context)
					.filter(decision -> !decision.isGranted())
					.switchIfEmpty(hasRole("DBA").check(authentication, context))
			)
			.anyExchange().denyAll()                                         (5)
		);
	return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        authorizeExchange {                                                           (1)
            authorize(pathMatchers("/resources/**", "/signup", "/about"), permitAll)  (2)
            authorize("/admin/**", hasRole("ADMIN"))                                  (3)
            authorize("/db/**", { authentication, context ->                          (4)
                hasRole("ADMIN").check(authentication, context)
                    .filter({ decision -> !decision.isGranted() })
                    .switchIfEmpty(hasRole("DBA").check(authentication, context))
            })
            authorize(anyExchange, denyAll)                                           (5)
        }
        // ...
    }
}

1	指定了多个授权规则。每条规则都按其声明的顺序进行考虑。
2	我们指定了任何用户都可以访问的多个 URL 模式。具体而言，如果 URL 以“/resources/”开头、等于“/signup”或等于“/about”，则任何用户都可以访问请求。
3	任何以“/admin/”开头的 URL 都将仅限于具有“ROLE_ADMIN”权限的用户。您会注意到，由于我们正在调用该方法，因此我们不需要指定“ROLE_”前缀。`hasRole`
4	任何以“/db/”开头的 URL 都要求用户同时具有“ROLE_ADMIN”和“ROLE_DBA”。这证明了提供自定义的灵活性，允许我们实现任意授权逻辑。为简单起见，此示例使用 lambda 并委托给现有实现。但是，在现实世界中，应用程序可能会在适当的类实现中实现逻辑。`ReactiveAuthorizationManagerAuthorityReactiveAuthorizationManager.hasRoleReactiveAuthorizationManager`
5	任何尚未匹配的 URL 都将被拒绝访问。如果您不想意外忘记更新授权规则，这是一个很好的策略。

1	指定了多个授权规则。每条规则都按其声明的顺序进行考虑。
2	我们指定了任何用户都可以访问的多个 URL 模式。具体而言，如果 URL 以“/resources/”开头、等于“/signup”或等于“/about”，则任何用户都可以访问请求。
3	任何以“/admin/”开头的 URL 都将仅限于具有“ROLE_ADMIN”权限的用户。您会注意到，由于我们正在调用该方法，因此我们不需要指定“ROLE_”前缀。`hasRole`
4	任何以“/db/”开头的 URL 都要求用户同时具有“ROLE_ADMIN”和“ROLE_DBA”。这证明了提供自定义的灵活性，允许我们实现任意授权逻辑。为简单起见，此示例使用 lambda 并委托给现有实现。但是，在现实世界中，应用程序可能会在适当的类实现中实现逻辑。`ReactiveAuthorizationManagerAuthorityReactiveAuthorizationManager.hasRoleReactiveAuthorizationManager`
5	任何尚未匹配的 URL 都将被拒绝访问。如果您不想意外忘记更新授权规则，这是一个很好的策略。