SpringSecurity设置白名单

   Spring Security 访问权限系列文章：

《SpringSecurity基于配置方法控制访问权限：MVC匹配器、Ant匹配器》

《SpringSecurity基于注解实现方法级别授权：@PreAuthorize、@PostAuthorize、@Secured》

《SpringSecurity设置白名单》

白名单（Whitelist）是一个安全术语，它指的是一个明确的列表或集合，其中包含了被系统、程序或网络明确授权允许访问或执行的对象。这些对象可以是用户、IP地址、电子邮件地址、域名、文件、进程或其他任何实体。

在 Spring Security 中设置白名单（即允许某些特定的URL路径无需认证即可访问）是一项常见的需求。你可以通过配置 WebSecurityConfigurerAdapter 来实现这一点。以下是一个示例，展示了如何配置 Spring Security 以允许特定的 URL 路径无需认证即可访问：

【示例】在 WebSecurityConfig （Spring Security 配置类）中，设置 HTTP 访问白名单。

/**
 * Spring Security 配置类
 * @author pan_junbiao
 **/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
{
    //公开权限的路径（白名单）
    private static final String[] WHITE_LIST = {
            "/user/getUserInfo",
            "/js/**",
            "/css/**",
            "/captcha.jpg"
    };
    
    @Override
    protected void configure(HttpSecurity http) throws Exception
    {
        http.authorizeRequests()
                .antMatchers(WHITE_LIST).permitAll() //设置白名单并公开其权限（公开的权限必须放在最上面）
                .anyRequest()     //匹配所有的请求
                .authenticated(); //所有匹配的URL都需要被认证才能访问
    }
}

方法说明：

• antMatchers(String)：通过 Ant 匹配器，匹配 HTTP 端点的访问路径。
• permitAll()：无条件允许一切用户访问。