Spring Security：使用 requires-channel 属性强制 https 上的 api

Question

我是 Spring 框架的新手，目前我正在开发 Spring + Maven 项目，在我的项目中，有很多 API，我只需要在 https 上运行/工作少数 API，它们不应该与 http 一起运行。

我对此做了一些发现，我发现我们可以通过使用 spring security requires-channel 属性非常轻松地做到这一点。

以下是 pom.xml 和 spring 安全文件中为 requires 通道制作的少数条目。

pom.xml 条目

<properties>
<spring.security.version>3.0.4.RELEASE</spring.security.version>
</properties>

<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>

<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>

在 spring-context.xml 文件中添加了与安全相关的条目

<security:http auto-config="true">
<security:intercept-url pattern="**/MyTesting"
    requires-channel="https" />

<security:authentication-manager>
</security:authentication-manager>

添加此条目后，我尝试点击http://localhost:8080/MyTesting，添加 requires-channel="https" 后它对我有效。我试图找到这个，但我无法获得任何有用的链接。请检查以上条目并纠正我所缺少的内容。任何帮助将不胜感激。

Answer 1

您的模式不正确。您可以使用以下内容作为完全匹配：

<security:intercept-url pattern="/MyTesting"
    requires-channel="https" />

注意：Spring Security 在匹配 URL 时会忽略上下文根，因此您不需要考虑它。

如果你想匹配所有以 /MyTesting 结尾的 URL，那么你可以使用：

<security:intercept-url pattern="/**/MyTesting"
    requires-channel="https" />