你可能必须阅读有关说明什么
auto-config没有,然后将其删除禁用
form-login。如果您专门配置要使用的内容,则配置将更加清晰。
从您的问题尚不清楚要在
x-authorization-key标题中包含什么。如果您仅使用客户端ID和共享密钥进行身份验证,则不妨使用基本身份验证,因为它已被开箱即用地支持,您可以将其添加
<http-basic />到您的配置中。如果您有更多定制的想法,那么您可能必须实现一个定制过滤器,并将其添加到Spring
Security过滤器链中以提取凭证并对其进行处理。
身份验证机制的适合方式还取决于其实际组成。通常,您的用户将具有分配的角色,这些角色通常在某种数据库中进行身份验证时加载。该
hasRole表达式仅检查当前用户是否具有指定角色。通常,您只需要创建一个
UserDetailsService即可以易于插入框架的标准格式加载用户信息。这在其他地方有详细介绍。如果您确实需要更多定制的内容,则有关GAE集成的博客文章包括有关如何与更复杂的系统集成的详细信息。
如果使用,Spring Security将不会创建或使用会话
create-session='stateless'。
PS您实际上并不需要在URL级别和处理相同URL的控制器上都包含相同的安全属性。
