最小 <http>配置
只需要進行如下配置就可以實現安全配置:
<http auto-config='true'>
<intercept-url pattern="/**" access="ROLE_USER" />
</http>
這表示,我們要保護應用程序中的所有URL,只有擁有 ROLE_USER角色的用戶才能訪問。
Note
你可以使用多個<intercept-url>元素爲不同URL 的集合定義不同的訪問需求,它們會被歸入一個有序隊
列中,每次取出最先匹配的一個元素使用。 所以你必須把期望使用的匹配條件放到最上邊。
<http>元素會創建一個FilterChainProxy和filter 使
用的bean。 以前常常出現的,因爲filter 順序不正確產生的問題,不會再出現了,現在這些過濾器的位置都是預定義好的。
2.2.2.1. auto-config包含了什麼?
我們在上面用到的auto-config屬性,其實是下面這些配置的縮寫:
<http>
<intercept-url pattern="/**" access="ROLE_USER" />
<form-login />
<anonymous />
<http-basic />
<logout />
<remember-me />
</http>
這些元素分別與form-login,匿名認證,基本認證,註銷處理和remember-me 對應。 他們擁有各自的
屬性,來改變他們的具體行爲。
auto-config需要一個UserDetailsService
使用auto-config 的時候如果沒配置UserDetailsService就會出現錯誤(比如,如果你使用了LDAP 認
證) 。 這是因爲remember-me 服務在auto-config="true"的時候啓動了, 它的認證機制需要
UserDetailsService來實現
