Question

У меня есть приложение, в котором я хочу принудительно установить HTTPS для всех запросов, кроме одного. Для этого одного URL мне все равно, если это HTTP / HTTPS.

В настоящее время у меня есть следующая конфигурация безопасности

http.requiresChannel()
        .antMatchers("/actuator/health").requiresInsecure()
        .antMatchers("/*").requiresSecure();

Проблема заключается в том, что для этого требуется доступ к конечной точке работоспособности приводов по HTTP, но мне все равно, какой протокол используется (я бы предпочел оба). Когда вы настраиваете авторизацию, у вас есть allowAll, который не заботится о том, аутентифицированы вы или нет, почему этот механизм защиты не похож на другой.

Кто-нибудь знает, как исключить URL из механизма безопасности канала.

Erik Wiklander · Answer 1 · 06 октября 2018

Я думаю, вы можете попробовать что-то вроде этого:

http.requiresChannel()
  .antMatchers("/actuator/health").requires(ChannelDecisionManagerImpl.ANY_CHANNEL)
    .anyRequest().requiresSecure();

Dirk Deyne · Answer 2 · 31 августа 2018

вы можете использовать регулярное выражение, которое соответствует всем URL-адресам, кроме того, которое вы хотите исключить, например:

http...
 .and()
   .requiresChannel()
   .regexMatchers("^((?!/actuator/health).)*$").requiresSecure();`

примечание: я не эксперт по регулярным выражениям (возможно, требуется улучшение)

Исключить URL из requireSecure ()

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Исключить URL из requireSecure ()

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов