如何配置Spring Security以保护特定的URL路径？

题目

如何配置Spring Security以保护特定的URL路径？

信息

• 类型：问答
• 难度：⭐

考点

Spring Security配置,URL路径保护,HTTP安全配置

快速回答

在Spring Security中通过HttpSecurity配置URL保护：

• 使用authorizeHttpRequests()定义访问规则
• 通过requestMatchers()匹配URL路径
• 使用hasRole()、permitAll()等方法设置权限
• 示例：
  http.authorizeHttpRequests(auth -> auth
  .requestMatchers("/admin/**").hasRole("ADMIN")
  .requestMatchers("/public/**").permitAll()
)

原理说明

Spring Security通过SecurityFilterChain实现URL保护。核心步骤：

1. 创建HttpSecurity实例配置HTTP请求安全
2. 使用authorizeHttpRequests()注册请求授权规则
3. 通过requestMatchers()指定URL路径匹配模式
4. 使用权限方法定义访问控制策略

代码示例

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(auth -> auth
            // 保护/admin路径需要ADMIN角色
            .requestMatchers("/admin/**").hasRole("ADMIN")  
            // 公开/public路径
            .requestMatchers("/public/**").permitAll()      
            // 其他请求需认证
            .anyRequest().authenticated()                   
        )
        .formLogin(withDefaults()); // 启用表单登录
    return http.build();
}

最佳实践

• 路径顺序：规则按声明顺序匹配，应将具体路径放前面，通用规则（如anyRequest）放最后
• 角色前缀：hasRole("ADMIN")自动添加ROLE_前缀，数据库中角色名应为ROLE_ADMIN
• 测试验证：使用@WithMockUser注解进行单元测试

常见错误

• 规则顺序错误：将anyRequest().permitAll()放在开头会导致后续规则失效
• 路径匹配错误：使用"/admin**"（缺少斜杠）可能无法匹配/admin/users
• 忽略静态资源：忘记公开CSS/JS路径导致页面样式丢失
  解决方案：.requestMatchers("/css/**", "/js/**").permitAll()

扩展知识

• 匹配方式：
  • 通配符："/resources/**"匹配多级路径
  • 多路径：requestMatchers("/api/", "/v2/api")
  • HTTP方法：requestMatchers(HttpMethod.POST, "/submit")
• 替代方案：旧版使用antMatchers()（Spring Security 5.8+推荐requestMatchers）
• 动态权限：通过实现AuthorizationManager接口实现复杂业务逻辑控制