如何在 Spring Security 中结合 httpbasic 和 formlogin？

通过创建几个 bean（WebSecurityConfigurerAdapter 的继承者）来配置对具有不同安全设置的不同系统组件的访问。在下面的示例中，创建了 2 个配置：第一个 - 数据库中的用户使用 jwt 令牌访问系统，第二个 - 未经授权的公共访问。

配置1

@Order(102)
@Configuration
public class PrivateConfig extends WebSecurityConfigurerAdapter {

    private final JwtTokenProvider jwtTokenProvider;
    private final UserDetailsService userDetailsService;
    private final PasswordEncoder passwordEncoder;

    @Autowired
    public PrivateConfig(
            JwtTokenProvider jwtTokenProvider,
            @Qualifier("userDetailsServiceImpl") UserDetailsService userDetailsService,
            PasswordEncoder passwordEncoder) {
        this.jwtTokenProvider = jwtTokenProvider;
        this.userDetailsService = userDetailsService;
        this.passwordEncoder = passwordEncoder;
    }

    @Primary
    @Override
    @Bean(name = "authenticationManagerBeanGENERIC")
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Выключить простую аутентификацию
        http.httpBasic().disable();

        // CSRF & CORS
        http.csrf().disable();
        http.cors();

        // Взаимодействие без сохранения состояния
        // Сессию создавать не надо
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // Правила проверки
        http.antMatcher("/api/**")
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, "/api/profiles/forms").hasAuthority("ADMIN")
                .antMatchers(HttpMethod.DELETE, "/api/profiles/*").hasAuthority("ADMIN")
                .antMatchers(HttpMethod.GET, "/api/account/me").hasAnyAuthority("ADMIN", "USER")
                .antMatchers(HttpMethod.GET, "/api/account/logout").hasAnyAuthority("ADMIN", "USER")
                .antMatchers("/api/**").hasAuthority("USER"); // Доступ к REST API только для пользователей

        // Фильтря для JWT-аутентификации
        JwtTokenFilter filter = new JwtTokenFilter(jwtTokenProvider);
        http.addFilterBefore(filter, UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder);
    }
}

配置2

@Order(100)
@Configuration
@EnableWebSecurity
public class PublicConfig extends WebSecurityConfigurerAdapter {

    private static final String[] ANT_PATTERNS = {
            "/api/public/**",
            "/api/dictionaries/**",
            "/api/registration/**",
            "/api/account/login",
            "/api/account/password/reset/**",
            "/api/account/confirm",
            "/api/search/egrul",
            "/api/search/credentials"
    };

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // Выключить простую аутентификацию
        http.httpBasic().disable();

        // CSRF & CORS
        http.csrf().disable();
        http.cors();

        // Взаимодействие без сохранения состояния
        // Сессию создавать не надо
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // Правила проверки
        http.requestMatchers(requestMatcherConfigurer -> requestMatcherConfigurer.antMatchers(ANT_PATTERNS))
                .authorizeRequests()
                .anyRequest()
                .permitAll();
    }

}

为此，您需要了解：

1. 配置应该通过指定它们应该适用于哪些系统组件来按范围划分。在上面的示例中，这是通过http.antMatcher(...)和实现的http.requestMathcers(...)。
2. 您必须明确指定配置检查的优先级。根据范围的大小分配优先级是一种很好的做法：配置覆盖的范围（更多组件）越大，它应该工作的时间越晚，并且必须指定更高的优先级值。在上面的例子中，检查PublicConfig是在之前执行的PrivateConfig