我想允许用户浏览网站但限制访问某些必须登录的操作/页面才能访问该网站。如何使用弹簧安全配置实现此目的?
我不确定弹簧安全是否正常。
答案 0 :(得分:1)
<intercept-url pattern="/admin/**" access="ROLE_ADMIN" requires-channel="https" /> <intercept-url pattern="/secure/**" access="ROLE_USER, ROLE_ADMIN" requires-channel="https" /> <intercept-url pattern="/**" access="permitAll" requires-channel="any" />
然后使用/ secure /为所有受保护的页面添加前缀。这将允许人们浏览除/ secure /和/ admin /
中的页面之外的整个站点此外,您可以使用ROLE_USER代替IS_AUTHENTICATED_FULLY(而不是IS_AUTHENTICATED_REMEMBERED或IS_AUTHENTICATED_ANONYMOUSLY)
requires-channel仅在您使用https时使用,如果您尝试保护内容,则应该使用https。