Как указать глобальные настройки для Spring Security (SecurityFilterChain)

Как указать глобальные настройки для Spring Security (SecurityFilterChain) ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Как указать глобальные настройки для Spring Security (SecurityFilterChain)

Цитата

Сообщение Anonymous » 31 июл 2024, 23:57

Предположим, у меня настроены два компонента SecurityFilterChain-Beans.
Один обеспечивает некоторую общую конфигурацию безопасности, например, он может установить заголовок CSP. Этот компонент будет частью библиотеки, поскольку я хочу применить его в нескольких приложениях.

Код: Выделить всё

@Bean
@Order
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) {
http
// ...
.headers(headers -> headers
.contentSecurityPolicy(policy -> policy
.policyDirectives("script-src 'self' https://trustedscripts.example.com")
)
);
return http.build();
}

Второй компонент применяется только к одной конечной точке в одном приложении, что требует специальной авторизации (очень упрощенный пример):

Код: Выделить всё

@Bean
@Order(0)
SecurityFilterChain specialSecurityFilterChain(HttpSecurity http) {
http
.securityMatcher(request -> request.getRequestURI().startsWith("/critical-endpoint")
.authorizeHttpRequests(authorize -> authorize.hasRole("ADMIN"))
return http.build();
}

При обработке запроса один SecurityFilterChain выбирается в соответствии с их порядком и SecurityMatcher.
Однако я хотел бы вернуть тот же заголовок CSP, когда специальныйSecurityFilterChain
code> был применен без повторения кода из defaultSecurityFilterChain. Есть ли способ добиться такой глобальной конфигурации для SecurityFilterChains?
Я попробовал заменить HttpSecurity-Bean и настроить его с помощью метода с аннотацией @PostConstruct, но это привело к конфликтам из-за дублирования bean-компонентов и циклических зависимостей при запуске приложения соответственно.

Подробнее здесь: https://stackoverflow.com/questions/788 ... ilterchain

1722459436

Anonymous

Предположим, у меня настроены два компонента SecurityFilterChain-Beans.
Один обеспечивает некоторую общую конфигурацию безопасности, например, он может установить заголовок CSP. Этот компонент будет частью библиотеки, поскольку я хочу применить его в нескольких приложениях.
[code]@Bean
@Order
SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) {
http
// ...
.headers(headers -> headers
.contentSecurityPolicy(policy -> policy
.policyDirectives("script-src 'self' https://trustedscripts.example.com")
)
);
return http.build();
}
[/code]
Второй компонент применяется только к одной конечной точке в одном приложении, что требует специальной авторизации (очень упрощенный пример):
[code]@Bean
@Order(0)
SecurityFilterChain specialSecurityFilterChain(HttpSecurity http) {
http
.securityMatcher(request -> request.getRequestURI().startsWith("/critical-endpoint")
.authorizeHttpRequests(authorize -> authorize.hasRole("ADMIN"))
return http.build();
}
[/code]
При обработке запроса один SecurityFilterChain выбирается в соответствии с их порядком и SecurityMatcher.
Однако я хотел бы вернуть тот же заголовок CSP, когда специальныйSecurityFilterChain
code> был применен без повторения кода из defaultSecurityFilterChain. Есть ли способ добиться такой глобальной конфигурации для SecurityFilterChains?
Я попробовал заменить HttpSecurity-Bean и настроить его с помощью метода с аннотацией @PostConstruct, но это привело к конфликтам из-за дублирования bean-компонентов и циклических зависимостей при запуске приложения соответственно. 

Подробнее здесь: [url]https://stackoverflow.com/questions/78818331/how-to-specify-global-settings-for-spring-security-securityfilterchain[/url]