![](/img/trans.png)
[英]Spring security requires authentication for pages marked with “anonymous” or “permitAll”
[英]Spring security permitAll requires Authorization header
我有一个具有两个REST端点的应用程序:
对于第一个端点,我不想发送“授权”标头。 为此,我配置以下xml:
<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>
对于第二个端点,我确实想发送“授权”标头。 因此,我配置此xml:
<security:intercept-url pattern="/api/products" method="POST" access="hasRole('ROLE_ADMIN')"/>
令我惊讶的是,GET / api / products需要一个“ Authorization”标头,它返回401。POST / api / products的工作原理非常好。 我只是发送了带有有效值的“授权”标头,一切正常。
我意识到将<security:intercept-url>
与access =“ permitAll”结合使用不会禁用对“ Authorization”标头的需求,这是正确的吗? 如果是这样,我可以设置哪种配置来实现我的目标?
我正在使用Spring Security 4
您应该只删除<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>
并且不为/api/products
GET
资源指定任何安全配置。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.