java – 如何禁用适用于RESTful端点的基于弹出窗体的登录?

前端之家收集整理的这篇文章主要介绍了java – 如何禁用适用于RESTful端点的基于弹出窗体的登录?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我使用基于基于表单和身份验证的 spring-security配置,根据auto-config =’true’.

我希望/ api / **下的端点不要使用基于表单的安全性. / api / **之外的其他端点应使用基于表单的登录.我想要一个401响应发送到任何没有在/ api / **下提供凭据的端点的呼叫.

更新:感谢Luke Taylor在下面的评论,我已经提出了以下解决方案.

注意:这种技术只能在弹簧安全3.1中应用.

首先我单身/ api / **.我们从不创建一个会话,而使用一个会话,如果可用,这由create-session =“never”和使用< session-management /&gt ;.

<http pattern="/api/**" create-session="never" use-expressions="true">
    <http-basic />
    <session-management />
    <intercept-url pattern="/api/**" access="hasRole('API_ACCESS')"/>
</http>

<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/" access="permitAll"/>
    <intercept-url pattern="/**" access="isAuthenticated()"/>
</http>

解决方法

使用Spring Security 3.1,您最好的选择是通过使用两个单独的< http>将应用程序的休息和非休止部分分割成单独的过滤器链.元素.然后可以将休息的API链配置为无状态并使用基本身份验证,而默认链可以使用正常的表单登录配置.

那么你会有如下的东西:

<http pattern="/api/**" create-session="stateless">
    <intercept-url pattern="/api/**" access="ROLE_API_USER" />
    <http-basic />        
</http>

<!-- No pattern attribute,so defaults to matching any request -->
<http>
    <intercept-url pattern="/**" access="ROLE_USER" />
    <form-login />        
</http>

链式定义必须从最具体的模式排序到最普通的,因此默认链是最后的.

猜你在找的Java相关文章