需要使用Spring Security授予对用户没有任何角色的访问权限。任何人都必须授予进程身份验证来访问任何URL。那么我可以通过这样的事情来做到这一点,或者可以以其他方式做到这一点?如何为所有经过身份验证的用户授予访问权限?
<http auto-config='true'>
<intercept-url pattern="/**" access="ALL" />
<intercept-url pattern="/login.jsp" filters="none" />
<form-login login-page="/login.jsp" />
</http>
你可能寻找IS_AUTHENTICATED_FULLY或IS_AUTHENTICATED_REMEMBERED或IS_AUTHENTICATED_ANONYMOUSLY
还要检查http://www.acegisecurity.org/acegi-security/apidocs/org/acegisecurity/vote/AuthenticatedVoter.html
其实你只需要创建自己的AccessDecisionManager,和你自己的AccessDecisionVoter(S),并将它们传递到像这样的块:
<http .... access-decsion-manager="myAccessManager">
.....
</http>
<bean id="myAccessManager" class="org.springframework.security.vote.AffirmativeBased">
<property name="decisionVoters">
<list>
<bean id="myVoter" class=[some subclass of AccessDecisionVoter] />
</list>
</property>
</bean>
这不是100%的解决方案,b它应该让你开始正确的道路。 Spring Security中的“自动配置”设置会在后台创建大量这些类,并在没有其他正确类可用的bean的情况下自动加载它们。