我想像下面这样管理安全策略。(HTTP基本授权(
-
在以下URL中应用身份验证。"foo/"bar/";
-
忽略任何其他URL。(即使请求的标题中有Authorization字段(
我知道permit((。但permit((不适用,因为当请求的标头中有Authorization字段时,它会应用安全策略。
如果你想忽略特定的url,那么你需要实现这个方法。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(final WebSecurity web) throws Exception {
web.ignoring()
.antMatchers("/static/**");
}
}
您可以将您的url放在不希望应用身份验证的/static/**位置。
您的示例意味着Spring(Web(Security正在忽略URL模式与您定义的表达式("/static/**"(相匹配。此URL是被Spring Security跳过,因此不安全。
阅读Spring Security参考以了解更多详细信息:单击此处查看Spring Security详细信息