0

我想为除登录屏幕 URL 之外的所有 URL 设置安全性,但我不想使用会话管理。

请帮我解决这个问题。我的安全上下文文件在下面

<security:http pattern="/" security="none" />   

<security:http auto-config="false" use-expressions="true" create-session="stateless" access-denied-page="/"   entry-point-ref="authenticationEntryPoint" >
    <security:intercept-url pattern="/**" access="isAuthenticated()" />     
    <security:intercept-url pattern="/logout" access="permitAll" />
    <security:intercept-url pattern="/logout.jsp" access="permitAll" />
    <security:logout logout-url="/j_spring_security_logout" />
    <security:custom-filter ref="authenticationFilter" position="FORM_LOGIN_FILTER"/>
</security:http>
4

1 回答 1

2

intercept-url您的标签的顺序是错误的。引用参考文档

您可以使用多个元素为不同的 URL 集定义不同的访问要求,但它们将按列出的顺序进行评估,并且将使用第一个匹配项。因此,您必须将最具体的匹配项放在顶部。

intercept-url具有通用匹配模式的 移至列表底部。

于 2013-03-26T10:24:36.100 回答