Question

Мы только что обновили Spring Security версии 3.0 до версии 3.1. Наш старый файл конфигурации, очевидно, использовал устаревшую функцию, где вы можете отключить защиту для блоков в блоке , используя опцию filter = "none". Вот фрагмент нашего старого файла applicationContext-security.xml:

<http ...>
    <intercept-url pattern="/resetPassword" filter="none" requires-channel="https" />
</http>

Spring Security 3.1 вынуждает вас определять дополнительные блоки , чтобы отключить защиту для определенных шаблонов URL:

<http security="none" pattern="/resetPassword" />

Вопрос: Как заставить канал HTTPS для этого нового блока ?

Rob Winch · Answer 1 · 24 января 2012

Конфигурация, которую вы использовали, на самом деле не требовала https, потому что filters = "none" означает, что Spring Security не должна обращать внимание на этот запрос. Вместо этого для Spring Security 3 и 3.1 вы должны использовать что-то вроде:

  <http use-expressions="true" ...>
    <intercept-url pattern="/resetPassword" access="permitAll" requires-channel="https" />
  </http>

Spring Security 3.1 и незащищенный канал HTTP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Spring Security 3.1 и незащищенный канал HTTP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов