我们最近刚刚从Spring Security 3.0升级到3.1版。我们的旧配置文件显然使用了已弃用的功能,您可以在其中禁用< intercept-url>的安全性。 < http>内的块阻止使用'filter =“none”'选项。这是我们旧的applicationContext-security.xml文件的片段:
<http ...>
<intercept-url pattern="/resetPassword" filter="none" requires-channel="https" />
</http>
Spring Security 3.1强制您定义其他&lt; http&gt;阻止关闭某些URL模式的安全性:
<http security="none" pattern="/resetPassword" />
问题:如何为此新&lt; http&gt;强制使用HTTPS通道?方框?
答案 0 :(得分:3)
您使用的配置实际上并不需要https,因为filters =“none”意味着Spring Security不应该关注该请求。相反,对于Spring Security 3和3.1,你应该使用类似的东西:
<http use-expressions="true" ...>
<intercept-url pattern="/resetPassword" access="permitAll" requires-channel="https" />
</http>