Metodo personalizzato Spring Security con variabile di percorso e formatore di corrispondenze

Question

Sto utilizzando l'avvio a molla, Web MVC e sicurezza di primavera con la configurazione java. I miei URL sono "RESTful" e vorrei aggiungere metodi di autorizzazione personalizzati.

Per esempio:

.antMatchers("/path/*/**").access("@myBean.authorise()") 

voglio ottenere qualcosa di simile:

.antMatchers("/path/{token}/**").access("@myBean.authorise(token)") 

capisco che posso passare nel HttpServletRequest e manualmente a nudo il percorso, ma vorrei evitare questo ! Inoltre, non è troppo entusiasta della sicurezza a livello di metodo, preferisco mantenere la configurazione in un unico posto poiché ho molti controller.

Grazie!

Answer 1

È possibile accedere a variabili di percorso, basta anteporre con #. Nel tuo caso, la sintassi corretta sarebbe:

.antMatchers("/path/{token}/**").access("@myBean.authorise(#token)") 

Non sono sicuro di quando questo è stato introdotto, ma so che è ora supportato. Riferimento: https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#el-access-web-path-variables

Answer 2

penso che il più vicino si può ottenere usando AntPathMatcher (sulla base di this) è:

/path/????????-????-????-????-????????????/**