Spring Security 3.1和不安全的HTTP通道

我們剛剛從Spring Security 3.0版升級到版本3.1。我們的舊配置文件顯然使用了不推薦使用的功能，您可以使用'filter =「none」'選項來禁用<http>塊中的<攔截url >塊的安全性。這是我們從舊的applicationContext-security.xml文件中的一個片段：Spring Security 3.1和不安全的HTTP通道

<http ...> 
    <intercept-url pattern="/resetPassword" filter="none" requires-channel="https" /> 
</http>

的Spring Security 3.1迫使你定義附加<HTTP>塊關閉安全對某些URL模式：

<http security="none" pattern="/resetPassword" />

問題：如何強制HTTPS通道用於此新塊<http>塊？

來源

2012-01-24 sutlermb

您使用的配置實際上並不需要https，因爲filters =「none」意味着Spring Security不應該關注該請求。相反，對於Spring Security 3和3.1，你應該使用類似的東西：

<http use-expressions="true" ...> 
    <intercept-url pattern="/resetPassword" access="permitAll" requires-channel="https" /> 
    </http>

來源

2012-01-24 18:40:15

謝謝！與其他一些小的調整 - 即使用hasAnyAuthority（...角色...），而不是直接命名角色 - 這很好地工作。 – sutlermb

Spring Security 3.1和不安全的HTTP通道

回答

相關問題