堆栈内存溢出
  繁体   English   中英

春季安全许可证全部需要授权标头

[英]Spring security permitAll requires Authorization header

 原文  2017-01-19 12:27:24       java/ spring/ security/ spring-mvc/ spring-security

问题描述

我有一个具有两个REST端点的应用程序:

  • GET / api / products(不安全)
  • POST / api / products(安全)

对于第一个端点,我不想发送“授权”标头。 为此,我配置以下xml: 

<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>

对于第二个端点,我确实想发送“授权”标头。 因此,我配置此xml: 

<security:intercept-url pattern="/api/products" method="POST" access="hasRole('ROLE_ADMIN')"/>

令我惊讶的是,GET / api / products需要一个“ Authorization”标头,它返回401。POST / api / products的工作原理非常好。 我只是发送了带有有效值的“授权”标头,一切正常。

我意识到将<security:intercept-url>与access =“ permitAll”结合使用不会禁用对“ Authorization”标头的需求,这是正确的吗? 如果是这样,我可以设置哪种配置来实现我的目标?

我正在使用Spring Security 4

1 个解决方案

解决方案1
 0  2017-01-19 12:34:41

您应该只删除<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>并且不为/api/products GET资源指定任何安全配置。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Spring安全性要求对标记为“匿名”或“ permitAll”的页面进行身份验证 春季安全许可证全部不起作用 Spring 安全 - 使用授权进行身份验证 Header Spring Security的许可证全部未经授权 如何在重定向中添加授权 header (Spring Security) Spring security 获取授权 header 值 带有permitAll()和过期身份验证令牌的URL的Spring Security 了解Spring Security中permitAll()和anonymous()的区别 Spring Security不允许使用简单的matcher和allowAll访问 Spring 安全 401 未经授权,即使有 permitAll
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM