我们目前正在使用Spring x509支持client-auth。应用服务器是JBoss,其中verify-client ="想要"已经确定。
然而,我观察到的是,一旦我将x509元素添加到spring配置文件,它将尝试为每个http请求加载数字证书。但是,我不希望它为登录页面执行此操作。除非用户点击登录页面上的特定按钮(例如“登录证书'”),否则我不希望加载和使用证书。
有没有办法排除任何特定的网址?或者,如果在Spring配置的元素中有x509元素,它会尝试为每个http请求加载证书吗?
这是我春季配置的一部分:
<security:http create-session="always">
<x509 subject-principal-regex="CN=(.*?)," user-service-ref="myUserDetailsService" />
<intercept-url pattern= ..... // not relevant to this question
<intercept-url pattern= ..... // not relevant to this question
<security:form-login
login-page="myLoginPage"
authentication-failure-url="/myErrorPage"
default-target-url="/mySuccessPage"
always-use-default-target="true"/>
</security:http>
如果不是在Spring中,有没有办法在JBOSS上指定排除URL:
这是JBOSS standalone.xml中配置的元素
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<ssl name="ssl" key-alias="alias" certificate-key-file="keystore" verify-client="want" ca-certificate-file="truststore"/>
</connector>