Spring Security配置中的单角色多个IP地址

Question

在我的Spring Boot项目中，我尝试访问具有特定IP地址的多个管理员用户。

是否可以将单个角色映射到多个IP地址？

这里是我的安全配置中的代码，它没有工作。 （我给硬编码的角色名和IP地址为简单起见）

@SuppressWarnings("ALL") 
@Configuration 
@EnableWebSecurity 
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter { 

    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
     List<String> ipAddresses = new ArrayList<>(); 
     ipAddresses.add("127.0.0.1"); 
     ipAddresses.add("192.168.1.0/24"); 
     ipAddresses.add("0:0:0:0:0:0:0:1"); 

     for (String ip : ipAddresses) { 
      http.authorizeRequests(). 
        antMatchers("/admin" + "/**") 
        .access("hasRole('admin') and hasIpAddress('" + ip + "')"); 
     } 
    } 

    //some other configurations 
} 

URL我的要求：http://localhost:9595/admin/checkappeals/211

Answer 1

你for循环的结果如下配置：

@SuppressWarnings("ALL") 
@Configuration 
@EnableWebSecurity 
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter { 

    @Override 
    protected void configure(HttpSecurity http) throws Exception { 

     http 
      .authorizeRequests() 
       .antMatchers("/admin/**").access("hasRole('admin') and hasIpAddress('127.0.0.1')") 
       .antMatchers("/admin/**").access("hasRole('admin') and hasIpAddress('192.168.1.0/24')") 
       .antMatchers("/admin/**").access("hasRole('admin') and hasIpAddress('0:0:0:0:0:0:0:1')"); 
    } 

    //some other configurations 
} 

因此对于URL：

http://localhost:9595/admin/checkappeals/211 

仅被认为是第一匹配，见HttpSecurity#authorizeRequests：

Note that the matchers are considered in order. Therefore, the following is invalid because the first matcher matches every request and will never get to the second mapping:

http.authorizeRequests().antMatchers("/**").hasRole("USER").antMatchers("/admin/**") 
      .hasRole("ADMIN") 

你必须建立这样的：

http 
    .authorizeRequests() 
     .antMatchers("/admin/**").acces("hasRole('admin') and (hasIpAddress('127.0.0.1') or hasIpAddress('192.168.1.0/24') or hasIpAddress('0:0:0:0:0:0:0:1'))";