通过调用.authorizeRequests(),您可以强制所有这些请求的授权,因为您尚未调用.ignore()某个匹配器。
我建议ignore在**匹配器上使用,然后在允许所有层的顶部对指定的匹配器逐步执行授权,以便可以访问除明确指定的对象之外的所有内容。
这可以完成您想要做的事情,但是请注意,这不是最佳实践,有很好的理由:默认情况下,您应拒绝所有未经授权的流量,并且仅明确允许对特定路由模板的未经授权的请求。
就是说,明智的做法是ignore,在不需要身份验证的情况下仅在希望访问的路由上明确使用,而不仅仅是**(例如仅针对/home - /about - /login - /signup)
602392714
清零编程群