我们在使用spring Security时，需要注意authorizeRequests的顺序

 @Override
    protected void configure(HttpSecurity http) throws Exception {
     http.authorizeRequests()
             .anyRequest().authenticated()
             .antMatchers("/hello").permitAll();
    }

由于是按照从上往下顺序依次执行，如上所示，当我们访问/hello时，会发现此时仍然需要登录！

所以我们往往会把.anyRequest().authenticated()放在最后

 @Override
    protected void configure(HttpSecurity http) throws Exception {
     http.authorizeRequests()
             .antMatchers("/hello").hasRole("USER")
             .antMatchers("/hi").hasRole("ADMIN")
             .anyRequest().authenticated();
    }

如上就表示。访问/hello接口需要USER角色，访问/hi需要ADMIN角色，访问其他接口需要认证。

那么访问/hello和/hi不需要认证吗？

也需要，毕竟只有认证了，我们才能从authentication中获得角色信息！