Naprawienie reguł autoryzacji (FORWARD)

8edb6382 · Patryk Czarnik · 9f9df1fc · 8edb6382
Commit 8edb6382 authored May 25, 2023 by Patryk Czarnik
Hide whitespace changes
Inline Side-by-side

Showing with 15 additions and 1 deletions

SecurityConfig.java ...epSpring/src/main/java/sklep/security/SecurityConfig.java +15 -1

No files found.
--- a/PC30-SklepSpring/src/main/java/sklep/security/SecurityConfig.java
+++ b/PC30-SklepSpring/src/main/java/sklep/security/SecurityConfig.java
@@ -13,6 +13,8 @@ import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
 import org.springframework.security.web.SecurityFilterChain;

+import jakarta.servlet.DispatcherType;
+
 @Configuration
 @EnableWebSecurity
 public class SecurityConfig {
@@ -20,11 +22,23 @@ public class SecurityConfig {
 	// Spring wstrzyknie tu domyślne połączenie z bazą danych - to sonfigurowane w application.properties
 	private DataSource dataSource;
 	
+	// To pomogło mi napisać poprawną konfigurację w "nowym stylu":
+	// https://docs.spring.io/spring-security/reference/servlet/authorization/authorize-http-requests.html
+	// Kluczowe było dodanie linii z DispatcherType.FORWARD → bez tego Spring wymagał autentykacji na etapie przechodzenia do szablonu jsp (FORWARD) lub wyświetlenia błędu
 	@Bean
 	SecurityFilterChain setHttpSecurity(HttpSecurity httpSecurity) throws Exception {
 		httpSecurity
 			.authorizeHttpRequests((authz) -> authz
-					.anyRequest().authenticated()
+					// zezwalamy na działanie przekierowań wewnętrznych (szablony) i błędów
+					.dispatcherTypeMatchers(DispatcherType.FORWARD, DispatcherType.ERROR).permitAll()
+					.requestMatchers("/", "/whoami", "/*.css").permitAll()
+					.requestMatchers("/hello", "/time").permitAll()
+					.requestMatchers("/alt?/**").authenticated() // zalogowany jako ktokolwiek
+					.requestMatchers("/products/new", "/products/*/edit").hasAuthority("ROLE_manager")
+					.requestMatchers("/products/**").permitAll() // kolejność reguł ma znaczenie
+					.requestMatchers("/customers/new", "/customers/*/edit").hasRole("manager") // skrót na hasAuthority("ROLE_...")
+					.requestMatchers("/customers/**").authenticated()
+					.anyRequest().denyAll() // dobra praktyka - odrzucanie pozostałych zapytań; Spring domyślnie wymagałby "authenticated"
 				)
 			.formLogin();
 		return httpSecurity.build();