2013-03-26 81 views
0

我想爲所有URL設置安全性,除了彈簧安全中的登錄屏幕URL, 但我不想使用會話管理。在Spring Security中刪除會話

請幫我解決這個問題。 我的安全上下文文件低於

<security:http pattern="/" security="none" /> 

<security:http auto-config="false" use-expressions="true" create-session="stateless" access-denied-page="/" entry-point-ref="authenticationEntryPoint" > 
    <security:intercept-url pattern="/**" access="isAuthenticated()" />  
    <security:intercept-url pattern="/logout" access="permitAll" /> 
    <security:intercept-url pattern="/logout.jsp" access="permitAll" /> 
    <security:logout logout-url="/j_spring_security_logout" /> 
    <security:custom-filter ref="authenticationFilter" position="FORM_LOGIN_FILTER"/> 
</security:http> 

回答

2

intercept-url標記的順序是錯誤的。從reference docs報價:

您可以使用多個元素來定義多套不同的URL的不同訪問需求,但他們會在列出的順序進行評估,第一場比賽將被使用。所以你必須把最具體的比賽放在最上面。

將具有通用匹配模式的intercept-url移動到列表的底部。

相關問題