При определении новых ресурсов REST для весенних загрузок я, как правило, забываю также создать конфигурацию весенней безопасности для своих шаблонов URL.
Как я могу по умолчанию запретить доступ ко всем URL-адресам и разрешать доступ к явно настроенным шаблонам URL? (Я использую .hasRole
для доступа). Я хочу избежать как можно большего количества непредвиденных дыр в системе безопасности.
Скажем, у меня есть три ресурса REST: /jobs
, /desks
и /salary
. Мой текущий код может выглядеть так:
http.authorizeRequests()
.antMatchers(HttpMethod.GET, "/jobs")
.hasRole("my_user")
.antMatchers(HttpMethod.GET, "/desks")
.hasRole("my_user");
Но в настоящее время доступ к url /salary
предоставляется всем (потому что он еще не настроен)!