Colegas estou adicionando o spring-security na minha aplicação, até o presente momento consigo autenticar no sistema com meu próprio login. Como faço para liberar minhas rotas privadas ao fazer login na aplicação? Vejam na imagem que adicionei uma rota /administrador/listar, porém ela fica vulnerável quando eu informar o endereço na URL.
Você está marcando como permitAll todas as rotas que você está configurando!
Normalmente o anyRequest().authenticated() é a última chamada na cadeia do builder após já ter configurado todas as rotas que são abertas.
dentro desse contexto, qual seria a solução? Jonathan eu não pretendo fazer nível de acesso por enquanto, apenas quero logar no sistema e ter acesso a todo sistema.
Esta configuração não é de nível de acesso, é apenas configuração de rotas que exigem ou não que o usuário esteja autenticado ao realizar uma requisição para o seu serviço!
Não conheço seu contexto e não tenho como afirmar qual seria a configuração que se aplicaria!
Normalmente seria algo próximo de:
- Permitir acesso a rota de login [ant + permitAll]
- Permitir acesso a rota de logout [ant + permitAll]
- Permitir acesso a recursos estáticos caso sua aplicação possua (html, css, js, imagens …) [ant + permitAll]
- Restringir acesso a qualquer outra rota [any + authenticated]
@Jonathan_Medeiros, pra eu entender todo o processo, eu tive que ver uma sequencia de video aulas. E agora compreendir muita coisa, tudo que tiver depois do Authenticaded tem que ser tratado no braço, para definir se tem permissão para acessar os conteúdos privados. Se alguém tiver a mesma dúvida que eu. esse é o link para estudar.
Isso, por padrão nada é acessível publicamente sem autenticação a menos que você diga explicitamente que é.