一致しないURLのJetty ConstraintMapping？

Question

ConstraintSecurityHandlerを使用してアプリを保護しようとしています。それはこれまでのところ素晴らしいです。ただし、特定のパスを除外したいと思います。特に、/api/で始まるパスは、通常のセキュリティ/ログイン（APIトークンで保護されています）を無視する必要があります。私は

/* (that doesn't match one of the below) Requires view role /api/* Skips security handler /admin/* Requires admin role

のようなもの、これを達成する簡単な方法がありますが欲しいですか？

Answer 1

ConstraintSecurityHandlerは、サーブレット仕様のセキュリティ制約メカニズムを実装しています。

拘束されているパスの一覧です。それが重複した場合、最初の制約が勝ちます。

サーブレット仕様制約には、制約からパスを「除外」する概念がありません。

ConstraintMappingとして/api/*を実装すると、Constraint（ロールはなく、認証されていないなど）を実装できます。