是否有可能在某些情况下以某种方式绕过弹簧安全?我们目前正在使用spring security 3.1.x,这个设置运行良好(表单登录等)。
对于我们的web-api,我们现在要求某些对象可以设置为“external”,这意味着它们不需要登录。所有对象都在/ api / *下,但实际路径是动态的(通常是/ api / {type} / {id})。
有什么建议吗?
答案 0 :(得分:1)
你可以在单独的http中定义url模式以绕过spring安全过滤器链,就像这样
<http pattern="/api/**" security="none"/>