java – 如何禁用适用于RESTful端点的基于弹出窗体的登录?
发布时间:2020-05-22 12:09:23 所属栏目:Java 来源:互联网
导读:我使用基于基于表单和身份验证的 spring-security配置,根据auto-config =’true’. 我希望/ api / **下的端点不要使用基于表单的安全性. / api / **之外的其他端点应使用基于表单的登录.我想要一个401响应发送到任何没有在/ api / **下提供凭据的端点的呼叫.
|
我使用基于基于表单和身份验证的 spring-security配置,根据auto-config =’true’. 我希望/ api / **下的端点不要使用基于表单的安全性. / api / **之外的其他端点应使用基于表单的登录.我想要一个401响应发送到任何没有在/ api / **下提供凭据的端点的呼叫. 更新:感谢Luke Taylor在下面的评论,我已经提出了以下解决方案. 注意:这种技术只能在弹簧安全3.1中应用. 首先我单身/ api / **.我们从不创建一个会话,而使用一个会话,如果可用,这由create-session =“never”和使用< session-management /> ;. <http pattern="/api/**" create-session="never" use-expressions="true">
<http-basic />
<session-management />
<intercept-url pattern="/api/**" access="hasRole('API_ACCESS')"/>
</http>
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/" access="permitAll"/>
<intercept-url pattern="/**" access="isAuthenticated()"/>
</http>
解决方法使用Spring Security 3.1,您最好的选择是通过使用两个单独的< http>将应用程序的休息和非休止部分分割成单独的过滤器链.元素.然后可以将休息的API链配置为无状态并使用基本身份验证,而默认链可以使用正常的表单登录配置.那么你会有如下的东西: <http pattern="/api/**" create-session="stateless">
<intercept-url pattern="/api/**" access="ROLE_API_USER" />
<http-basic />
</http>
<!-- No pattern attribute,so defaults to matching any request -->
<http>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login />
</http>
链式定义必须从最具体的模式排序到最普通的,因此默认链是最后的. (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |