[英]Spring security permitAll requires Authorization header
我有一個具有兩個REST端點的應用程序:
對於第一個端點,我不想發送“授權”標頭。 為此,我配置以下xml:
<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>
對於第二個端點,我確實想發送“授權”標頭。 因此,我配置此xml:
<security:intercept-url pattern="/api/products" method="POST" access="hasRole('ROLE_ADMIN')"/>
令我驚訝的是,GET / api / products需要一個“ Authorization”標頭,它返回401。POST / api / products的工作原理非常好。 我只是發送了帶有有效值的“授權”標頭,一切正常。
我意識到將<security:intercept-url>與access =“ permitAll”結合使用不會禁用對“ Authorization”標頭的需求,這是正確的嗎? 如果是這樣,我可以設置哪種配置來實現我的目標?
我正在使用Spring Security 4
您應該只刪除<security:intercept-url pattern="/api/products" method="GET" access="permitAll"/>並且不為/api/products GET資源指定任何安全配置。
Spring安全性要求對標記為“匿名”或“ permitAll”的頁面進行身份驗證
[英]Spring security requires authentication for pages marked with “anonymous” or “permitAll”
如何在重定向中添加授權 header (Spring Security)
[英]How to add Authorization header in redirect (Spring Security)
帶有permitAll()和過期身份驗證令牌的URL的Spring Security
[英]Spring Security for URL with permitAll() and expired Auth Token
了解Spring Security中permitAll()和anonymous()的區別
[英]Understanding the difference of permitAll() and anonymous() in Spring Security
Spring Security不允許使用簡單的matcher和allowAll訪問
[英]Spring security not allowing access with simple matcher and permitAll
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.