我使用基于基于表单和身份验证的
spring-security配置,根据auto-config =’true’.
我希望/ api / **下的端点不要使用基于表单的安全性. / api / **之外的其他端点应使用基于表单的登录.我想要一个401响应发送到任何没有在/ api / **下提供凭据的端点的呼叫.
更新:感谢Luke Taylor在下面的评论,我已经提出了以下解决方案.
注意:这种技术只能在弹簧安全3.1中应用.
首先我单身/ api / **.我们从不创建一个会话,而使用一个会话,如果可用,这由create-session =“never”和使用< session-management /> ;.
<http pattern="/api/**" create-session="never" use-expressions="true">
<http-basic />
<session-management />
<intercept-url pattern="/api/**" access="hasRole('API_ACCESS')"/>
</http>
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/" access="permitAll"/>
<intercept-url pattern="/**" access="isAuthenticated()"/>
</http>
解决方法
使用Spring Security 3.1,您最好的选择是通过使用两个单独的< http>将应用程序的休息和非休止部分分割成单独的过滤器链.元素.然后可以将休息的API链配置为无状态并使用基本身份验证,而默认链可以使用正常的表单登录配置.
那么你会有如下的东西:
<http pattern="/api/**" create-session="stateless">
<intercept-url pattern="/api/**" access="ROLE_API_USER" />
<http-basic />
</http>
<!-- No pattern attribute,so defaults to matching any request -->
<http>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login />
</http>
链式定义必须从最具体的模式排序到最普通的,因此默认链是最后的.
