Spring Security 6 中的新 requestMatchers

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《Spring Security 6 中的新 requestMatchers》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

在 spring security 6 中，requestmatchers 方法取代了已弃用的 antmatchers、mvcmatchers 和 regexmatchers 方法，用于配置基于路径的访问控制。以下是关于新 requestmatchers 的要点：

在authorizehttprequests中使用requestmatchers

httpsecurity配置中的authorizehttprequests方法允许您配置细粒度的请求匹配以进行访问控制。您可以使用 requestmatchers 方法来指定应允许或验证哪些请求。例如：

@bean
public securityfilterchain securityfilterchain(httpsecurity http) throws exception {
    return http.authorizehttprequests(auth -> auth
        .requestmatchers("/greet").permitall()
        .anyrequest().authenticated())
        .formlogin()
        .build();
}

此配置允许无需身份验证即可访问 /greet 端点，同时需要对所有其他请求进行身份验证。

requestmatchers 与 securitymatchers

类似的方法还有两个：requestmatchers 和 securitymatchers。两者都根据类路径中 spring mvc 的存在来选择最合适的 requestmatcher 实现：

• 如果 spring mvc 存在，它使用 mvcrequestmatcher
• 如果 spring mvc 不存在，它将回退到 antpathrequestmatcher

主要区别在于 securitymatchers 用于 websecuritycustomizer 等地方，而 requestmatchers 用于authorizehttprequests。

选择正确的匹配器

requestmatchers 方法允许您根据模式或其他条件匹配请求，而无需依赖特定的匹配器（如 antpathrequestmatcher 或 regexrequestmatcher）。这提供了更大的灵活性和更好的默认值。

要使用特定的匹配器，您可以将 requestmatcher 实现传递给 requestmatchers 方法：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    return http.authorizeHttpRequests(auth -> auth
        .requestMatchers(new AntPathRequestMatcher("/greet")).permitAll()
        .anyRequest().authenticated())
        .formLogin()
        .build();
}

总而言之，spring security 6 中新的 requestmatchers 方法提供了一种更灵活、更安全的方式来配置基于路径的访问控制，根据应用程序的依赖关系选择最合适的 requestmatcher 实现。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。