我正在使用spring security 4,我意识到如果我在控制器中添加一个url处理程序而忘记在spring security xml中指定访问权限,那么这个页面将不会受到保护,所有人都可以访问。我试图使用:
<intercept-url pattern="/**" access="denyAll" />
但是它禁止所有用户,甚至是那些我特意打开其他标签访问权限的用户。
答案 0 :(得分:0)
也许你会想到这样的事情?
access="isAuthenticated()"
如上所述here如果用户不是匿名的,则返回true。
我认为保持应用程序安全的主要思想不是让人犯错误......当人们忘记设置密码时,即使最好的安全系统也不安全。