我有一个名为 USER 的资源用于我的休息服务。 以下是来自该资源的一些 api。
/api/users/{userId}/order/{orderId}
/api/users/{userId}/favoriteStores
我希望第一个 URL 受到保护,而第二个 URL 不需要安全性。(给出一个示例 api url)。
我配置的安全配置如下
<security:http pattern="/rest/users/**" entry-point-ref="restAuthenticationEntryPoint"
use-expressions="true" auto-config="false" create-session="stateless">
<security:custom-filter ref="authenticationTokenProcessingFilter"
position="PRE_AUTH_FILTER" />
<security:intercept-url pattern="/rest/users/{userId}/order/**"
access="hasRole('ROLE_CUSTOMER')" />
<security:logout />
</security:http>
但这也会拦截第二个网址(即/api/users/{userId}/favoriteStores)
所以,我将配置更改为
<security:http pattern="/rest/users/{userId}/order/**" entry-point-ref="restAuthenticationEntryPoint"
use-expressions="true" auto-config="false" create-session="stateless">
<security:custom-filter ref="authenticationTokenProcessingFilter"
position="PRE_AUTH_FILTER" />
<security:intercept-url pattern="/rest/users/{userId}/order/**"
access="hasRole('ROLE_CUSTOMER')" />
<security:logout />
</security:http>
现在显示禁止错误。
我应该如何配置安全拦截网址?
最佳答案
在 Spring Security 中,如果您不想拦截 URL 模式,那么您必须提供访问值 PermitAll。另外,URL 模式必须与您想要的完全匹配。就像您的示例中一样,如果您想允许 url 模式 rest/users/{userId}/favoriteStores 那么您必须添加如下拦截模式:
<security:intercept-url pattern="/rest/users/*/favoriteStores/**"
access="permitAll" />
更多信息可以通过spring链接 for spring Expression-Based Access Control
关于java - 403访问禁止错误-当url具有动态路径参数时spring security,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31854811/