requestMatchers i reguły dostępu

cab20856 · Patryk Czarnik · 3bf9b1b4 · cab20856
Commit cab20856 authored Jul 30, 2023 by Patryk Czarnik
Hide whitespace changes
Inline Side-by-side

Showing with 19 additions and 2 deletions

SecurityConfig.java ...epSpring/src/main/java/sklep/security/SecurityConfig.java +19 -2

No files found.
--- a/PC27-SklepSpring/src/main/java/sklep/security/SecurityConfig.java
+++ b/PC27-SklepSpring/src/main/java/sklep/security/SecurityConfig.java
@@ -10,6 +10,8 @@ import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.security.provisioning.InMemoryUserDetailsManager;
 import org.springframework.security.web.SecurityFilterChain;

+import jakarta.servlet.DispatcherType;
+
 @Configuration
 @EnableWebSecurity
 public class SecurityConfig {
@@ -19,11 +21,26 @@ public class SecurityConfig {
    // - sposób uwierzytelniania
    //   (czy tradycyjny formularz logowania, czy HttpBasic, czy OAuth2, ...)
    
-    // W tej wersji jawnie wpisujemy takie ustawienia, które są ustawieniami domyślnymi.
+    // W tej wersji różnym rolom dajemy różne poziomy dostępu.
+    // (inaczej mówiąc: dla róznych adresów mamy różne wymagania)
+    
+    // To pomogło mi napisać poprawną konfigurację w "nowym stylu":
+    // https://docs.spring.io/spring-security/reference/servlet/authorization/authorize-http-requests.html
+    // Kluczowe było dodanie linii z DispatcherType.FORWARD → bez tego Spring wymagał autentykacji na etapie przechodzenia do szablonu jsp (FORWARD) lub wyświetlenia błędu
+    
    @Bean
    SecurityFilterChain configHttpSecurity(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.authorizeHttpRequests(authz -> authz
-                .anyRequest().authenticated()
+                // zezwalamy na działanie przekierowań wewnętrznych (szablony) i błędów
+                .dispatcherTypeMatchers(DispatcherType.FORWARD, DispatcherType.ERROR).permitAll()
+                .requestMatchers("/", "/whoami", "/*.css").permitAll()
+                .requestMatchers("/hello", "/time").permitAll()
+                .requestMatchers("/alt?/**").authenticated() // zalogowany jako ktokolwiek
+                .requestMatchers("/products/new", "/products/*/edit").hasAuthority("ROLE_manager")
+                .requestMatchers("/products/**").permitAll() // kolejność reguł ma znaczenie
+                .requestMatchers("/customers/new", "/customers/*/edit").hasRole("manager") // skrót na hasAuthority("ROLE_...")
+                .requestMatchers("/customers/**").authenticated()
+                .anyRequest().denyAll() // dobra praktyka - odrzucanie pozostałych zapytań; Spring domyślnie wymagałby "authenticated"
            ).formLogin(Customizer.withDefaults())
        ;
        return httpSecurity.build();