确保并允许访问具有蚂蚁匹配器和方法级安全的弹簧rest控制器？

Question

首先，我的应用程序是用spring引导和安全性构建的。

所以我有几个rest控制器(资源)。一个控制器提供了获取/发布不同类型数据的多种方法。但我有一些方法应该是公开的，而另一些则需要认证。

例如：

• GET /api/object/method1 1 <--需要身份验证
• GET /api/object/method2 2 <--公共
• POST /api/object/method3 3 <--需要身份验证
• POST /api/object/method4 4 <--公共

保护该资源的最佳实践是什么？我无法使用下面的模式/api/object/**使用antMatcher来保护url。因为那样的话，公共方法也就安全了。另外，我也不能按请求类型(GET，POST)进行安全保护。

我考虑过的一个选项是只使用方法级别的安全性(例如@Secured等)。这意味着我需要注释很多方法。

另一个在脑海中浮现的想法是将资源分成两部分。例如，创建

• ObjectResource.java
• ObjectResourcePublic.java

一个控制器基URL是/api/public/，其次是/api/，然后我可以使用antMatcher来处理这些URL。

我唯一的选择是单独保护每条路径还是单独保护每一种方法？我还需要做哪些其他选择来部分保护一个资源呢？

Answer 1

除上述方法外，您还可以使用以下方法。1.编写阻断器/过滤器2.使用方面并定义建议