使用 Spring 3.1.2 和 RestEasy 2.3.4。
我有一些 REST 资源。但是,我不想在 Spring 中指定所有这些角色都需要哪些角色。这是我目前的设置:
<security:http auto-config="true" use-expressions="true">
<security:http-basic/>
<security:intercept-url pattern="/secrets/**" access="ROLE_USER"/>
<security:intercept-url pattern="/**"/>
</security:http>
对“/secret/**”的调用通过了身份验证,我可以从 SecurityContextHolder-object 访问用户和角色。但是,即使我通过了基本凭据,对 '/**' 的调用也不会获得身份验证。我想根据获取的数据而不是通过 url 进行授权。
除非我指定访问权限,否则 Spring Security 似乎忽略了我的基本身份验证