spring安全url授权不工作_Spring_Spring Security

spring安全url授权不工作

spring spring-security

spring安全url授权不工作,spring,spring-security,Spring,Spring Security,我对我的应用程序中的url授权有疑问。如果我没有登录到我的应用程序并转到home.htm，我会被重定向到login.htm。那太好了，正是我想要的但我刚刚在我的应用程序中创建了一个返回JSON字符串的服务接口。这方面的一个示例url是 http://localhost/myapp/service/repManHealth/applicationHealthMessage.json 令我惊讶的是，这个url在没有用户验证的情况下工作。在我的applicationContext中，我有所有的安全

我对我的应用程序中的url授权有疑问。如果我没有登录到我的应用程序并转到home.htm，我会被重定向到login.htm。那太好了，正是我想要的

但我刚刚在我的应用程序中创建了一个返回JSON字符串的服务接口。这方面的一个示例url是

http://localhost/myapp/service/repManHealth/applicationHealthMessage.json

令我惊讶的是，这个url在没有用户验证的情况下工作。在我的applicationContext中，我有所有的安全映射设置。例如

<http pattern="/login.htm" security="none"/>
<http use-expressions="true" auto-config="false" entry-point-ref="loginUrlAuthenticationEntryPoint">
   <intercept-url pattern="/home.htm" access="isAuthenticated()" />
</http>

我没有将“/service/repManHealth/applicationHealthMessage.json”添加到这些映射中，那么为什么不允许用户在未经身份验证的情况下访问这些url呢

如果url与指定的截取url模式不匹配，则默认行为是否不安全

谢谢

只有

/home.htm

URL是安全的，其他所有内容都对任何人开放。正如您已经指出的，如果URL与拦截URL模式不匹配，则该模式不安全。确定。那么，违约行为是否不安全？你确定吗？因为我的web.xml中的spring安全过滤器被指定为/*。另外，如果默认行为不是为了安全，那么使用security=无特定URL的意义何在？是的，我肯定。如果您想应用安全性，您必须添加带有

/**

的截取url作为捕获所有内容的模式。Security

none

将不应用spring安全过滤器，而丢失的模式将导致应用某些spring安全过滤器（忽略实际应用安全性的过滤器，因为它与任何URL模式都不匹配）。