spring-boot - 了解 spring-security 上的 requestMatchers()

的目的requestMatchers()是指定 spring 安全配置将应用于哪些请求。

例如，如果您有 2 个端点"/public"，"/private"并且您只想将安全性（特别是 csrf 保护）应用于"/private"，那么您可以添加以下配置：

http
    .requestMatchers()
        .antMatchers("/private/**")
        .and()
    .csrf();

然后，如果你 POST 给你，"/private"你会得到一个 403 响应。
但是如果你 POST 给你，"/public"你会得到 200，因为没有应用任何安全措施。

这与authorizeRequests指示该端点所需的访问类型不同，与是否完全应用安全性相反。

在您提到的示例 1 中

http
    .requestMatchers()
        .antMatchers("/management/**")
        .and() 
        ...

安全配置仅适用于"/management/**"，因此如果您向 提出请求"/foo"，它将不受保护。

在您提到的示例 2 中，

http
    .requestMatchers()
        .antMatchers("/rest2/**")
        .and()
    .authorizeRequests()
        .antMatchers("/rest/v1/test/hello").permitAll()
        .antMatchers("/rest/v1/test/**").denyAll()
        .and()
    .requestMatchers()
        .antMatchers("/rest/**")
        .and()
    .authorizeRequests()
        .antMatchers("/rest/v1/test/hello").permitAll();

"/rest/v1/test/hello2"使用 401 响应的原因是"/rest/**"在请求匹配器中，因此您的安全规则.antMatchers("/rest/v1/test/hello").permitAll()将适用。
如果您要向 发出请求"/rest3/v1/test/hello2"，那么它会以 200 响应，因为"/rest3/**"它不是任何请求匹配器的一部分。