Sécurité de printemps - Autoriser l'accès anonyme

J'ai mis en œuvre Oauth2 dans mon printemps-démarrage de l'app. Dans mon security-context.xml, j'ai ces lignes -

<sec:intercept-url pattern="/trusted/**" access="isAnonymous()" />
<sec:intercept-url pattern="/**" access="isFullyAuthenticated()" />

Je veux tout sous /de confiance pour être accessibles sans authentification. Cependant, je suis toujours invité pour l'authentification lorsque je tente d'accéder à /de confiance des ressources (thèses sont Reposantes ressources).

Ai-je raté quelque chose ?

[Edit:] je suis l'exécution de cette application avec un "bénéficier" de tomcat instance.

source d'informationauteur Raj

  1. 5

    Il vous suffit de remplacer la confiance intercepter expression access attribut et cela devrait fonctionner:

    <sec:intercept-url pattern="/trusted/**" filters="none" />
<sec:intercept-url pattern="/**" access="isFullyAuthenticated()" />

    Bien que depuis le Printemps de Sécurité 3.1 a déconseillé filtersvous devez utiliser http balises pour obtenir le même effet:

    <http pattern="/trusted/**" security="none"/>

<http auto-config='true'>
  <intercept-url pattern="/**" access="isFullyAuthenticated()" />
  <form-login login-page='/login.jsp'/>
</http>

    Vous pouvez en lire plus à ce sujet ici.

  2. 1
    <http>
<intercept-url pattern="/trusted/**" access="ROLE_USER,ROLE_GUEST" />
<intercept-url pattern="/messagePost.htm*" access="ROLE_USER" />
<intercept-url pattern="/messageDelete.htm*" access="ROLE_ADMIN" />
<anonymous username="guest" granted-authority="ROLE_GUEST" />
<remember-me />
</http>

    <anonymous username="guest" granted-authority="ROLE_GUEST" />

    Vous pouvez définir un rôle comme ROLE_GUEST et une mention comme quoi le code ci-dessus ne. Tout membre anonyme pouvez accéder à l'url motif sous ROLE_GUEST

  3. 0

    Votre configuration est mauvaise. Maintenant l'image de ce qui se passe, en vous disant Printemps de sécurité pour autoriser l'accès anonyme pour tout sous /trusted/** qui est OK, mais ensuite vous dites qu'il de nouveau à restreindre l'accès anonyme sous /** - qui est chaque chemin dans votre application, ce qui évidemment limite l'accès à /trusted/**.

    Vous avez besoin de changer votre configuration en quelque chose comme ceci:

    <sec:intercept-url pattern="/trusted/**" access="isAnonymous()" />
<sec:intercept-url pattern="/secure/**" access="isFullyAuthenticated()" />

    et il va fonctionner.