在本教程中，我們將詳細研究 HttpSecurity 和 WebSecurity 的關鍵用法。 此外，我們還將看到這兩種類的區別。

2. HttpSecurity

The HttpSecurity 類有助於配置特定 HTTP 請求的安全性。

此外，它允許使用 requestMatcher() 方法來限制安全配置到特定的 HTTP 端點。

更重要的是，它提供了配置特定 HTTP 請求的授權靈活性。我們可以使用 hasRole() 方法創建基於角色的身份驗證。

以下是一個使用 HttpSecurity 類來限制對“/admin/**”的訪問的示例代碼：

@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests((authorize) -> authorize.requestMatchers("/admin/**")
      .authenticated()
      .anyRequest()
      .permitAll())
      .formLogin(withDefaults());
    return http.build();
}

在上面的代碼中，我們使用 HttpSecurity 類來限制對“/admin/**”端點的訪問。任何到該端點的請求都需要在訪問之前進行身份驗證。

此外，HttpSecurity 提供了用於配置受限端點授權的方法。讓我們修改我們的示例代碼，以僅允許具有管理員角色的用户訪問“/admin/**”端點：

// ...
http.authorizeHttpRequests((authorize) -> authorize.requestMatchers("/admin/**").hasRole("ADMIN")
// ...

在這裏，我們為請求添加了更多的安全層，允許用户僅通過具有“ADMIN”角色訪問該端點。

此外，HttpSecurity 類還用於配置 Spring Security 中的 CORS 和 CSRF 保護。

3. WebSecurity

The WebSecurity

The WebSecurity

The WebSecurity

3.1. The ignoring()

Additionally, the WebSecurity

Here’s an example that uses the ignoring()

@Bean
WebSecurityCustomizer ignoringCustomizer() {
    return (web) -> web.ignoring().requestMatchers("/resources/**", "/static/**");
}

Here, we use the ignoring()

Notably, Spring advises that the ignoring()

However, dynamic requests need to pass through authentication and authorization to provide different access rules because they carry sensitive data. Also, if we ignore dynamic endpoints completely, we lose total security control. This could open an application for different attacks like CSRF attacks or SQL injection.

@Bean
WebSecurityCustomizer debugSecurity() {
    return (web) -> web.debug(true);
}

@Bean
WebSecurityCustomizer ignoringCustomizer() {
    return (web) -> web.ignoring().antMatchers("/admin/**");
}

// ...
 http.authorizeHttpRequests((authorize) -> authorize.antMatchers("/admin/**").hasRole("ADMIN")
// ...