Spring 3.1.2 と RestEasy 2.3.4 を使用。
REST リソースがいくつかあります。ただし、すべてのロールに必要なロールを Spring で指定したくありません。これは私の現在の設定です:
<security:http auto-config="true" use-expressions="true">
<security:http-basic/>
<security:intercept-url pattern="/secrets/**" access="ROLE_USER"/>
<security:intercept-url pattern="/**"/>
</security:http>
「/secret/**」への呼び出しは認証され、SecurityContextHolder オブジェクトからユーザーとロールにアクセスできます。ただし、「/**」への呼び出しは、基本的な資格情報を渡しても認証されません。URL ではなく、フェッチされるデータに基づいて承認したいと考えています。
アクセスを指定しない限り、Spring Security は基本認証を無視するようです