@interface: i tak jest filtr ktory to robi wiec mozna by to wrzucic... jesli bedzie duzy ruch to wtedy mozna sprawdzic co mniej obciazy, ale na start byloby git. @Kresse: jakis przyklad?
@interface: @trustME: Mozesz napisac wlasnego AuthenticationProvidera i tam sprawdzac waznosc tokenu i wypluwac klase ze zmapowanymi danymi. Robia tak np. Springowe klasy do autentyfikacji przez Kerberosa, wiec chyba nie powinno byc problemu.
LINK DO RESTREAMA-PRZECZYTAJ ZASADY Restreamowy Amber Gold: -plusujesz ten wpis -dodajesz komentarz -wysyłam pierwszym osobom link na PW -oni wysyłają otrzymane linki komentującym niżej -Ty po otrzymaniu linku robisz to samo -każdy biorący udział wygrywa #famemma
Mam sobie API. Access na podstawie JWT.
Niektore sciezki musza byc dostepne tylko jesli w JWT sa odpowiednie claimy.
Za cholere nie moge tego ogarnac.
Priviledges sa dostepne w
SecurityContextHolder.getContext().getAuthentication().getAuthorities()Moj konfig:
http.csrf().disable()
.addFilterBefore(new CORSFilter(), ChannelProcessingFilter.class)
.exceptionHandling()
.authenticationEntryPoint(this.restAuthEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "**").permitAll()
.antMatchers(FORM_BASED_REGISTRATION_ENTRY_POINT).permitAll()
.antMatchers(FORM_BASED_LOGIN_ENTRY_POINT).permitAll()
.and()
.authorizeRequests()
.antMatchers(TOKEN_BASED_AUTH_ENTRY_POINT).authenticated()
.antMatchers("/api/route/to/protect").hasAuthority("PRIVILIGE_TO_CHECK")
.and()
.addFilterBefore(buildJWTLoginFilter(), UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(buildJWTAuthFilter(), UsernamePasswordAuthenticationFilter.class);
}
Komentarz usunięty przez autora
Komentarz usunięty przez autora
@PreAuthorize("hasRole('dupa')")Komentarz usunięty przez autora
@Kresse: jakis przyklad?
Mniej wiecej takie cos: https://pastebin.com/sLJWammb