使用Spring Security
3.1,最好的选择是通过使用两个单独的
<http>元素将应用程序的静态和非静态部分拆分为单独的过滤器链。然后可以将静态API链配置为无状态并使用基本身份验证,而默认链可以使用常规的表单登录配置。
然后,您将得到类似:
<http pattern="/api/**" create-session="stateless"> <intercept-url pattern="/api/**" access="ROLE_API_USER" /> <http-basic /> </http><!-- No pattern attribute, so defaults to matching any request --><http> <intercept-url pattern="/**" access="ROLE_USER" /> <form-login /> </http>
链定义必须从最特定的模式到最通用的顺序进行排序,因此默认链位于最后。
