我有一個(gè) API，需要通過兩種不同的方式來保護(hù)：1) 對(duì)除 1 之外的所有請(qǐng)求 URL 使用 JWT，這些請(qǐng)求 URL 需要通過基本身份驗(yàn)證進(jìn)行保護(hù)2) 一個(gè) url 的基本身份驗(yàn)證。我已經(jīng)為 JWT 和基本身份驗(yàn)證設(shè)置了安全配置。我的問題是，當(dāng)我使用有效的用戶名和密碼向基本身份驗(yàn)證 URL 發(fā)出請(qǐng)求時(shí)，它成功地對(duì)我進(jìn)行了身份驗(yàn)證，并完成了在 cassandra 中存儲(chǔ)數(shù)據(jù)的工作。然后，我希望必須通過 /api/login 為所有其他請(qǐng)求 URL 生成令牌，并將其添加到 Authorization: Bearer {Token} 標(biāo)頭中。但是，如果我通過基本身份驗(yàn)證進(jìn)行了身份驗(yàn)證，則我可以訪問其他 URL（受 JWT 身份驗(yàn)證保護(hù)），甚至無需在請(qǐng)求中包含令牌。當(dāng)我在沒有使用基本身份驗(yàn)證的情況下訪問受 JWT 保護(hù)的 URL 時(shí)，我必須在標(biāo)頭中發(fā)送令牌，并且它會(huì)按預(yù)期工作。我應(yīng)該期待這個(gè)嗎？我相信，即使我通過一個(gè)端點(diǎn)的基本身份驗(yàn)證進(jìn)行了身份驗(yàn)證，我仍然應(yīng)該在所有其他受保護(hù)的 JWT 端點(diǎn)的請(qǐng)求中發(fā)送令牌。我找到了這個(gè)答案： SpringBoot multipleauthenticationadapter還有這篇文章： https://docs.spring.io/spring-security/site/docs/4.2.x/reference/htmlsingle/#multiple-httpsecurity并嘗試實(shí)施解決方案，但所解釋的問題仍然出現(xiàn)。使用 BasicAuthEntryPoint 類：public class CustomBasicAuthenticationEntryPoint extends BasicAuthenticationEntryPoint {    private static final Gson gson = new Gson();    @Override    public void commence(final HttpServletRequest request, final HttpServletResponse response,            final AuthenticationException authException) throws IOException, ServletException {        // Authentication failed, send error response.        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);        PrintWriter writer = response.getWriter();        writer.println(gson.toJson("HTTP Status 401 : " + authException.getMessage()));    }    @Override    public void afterPropertiesSet() throws Exception {        setRealmName("Realm");        super.afterPropertiesSet();    }還有 JWT impl：@Componentpublic class JwtAuthenticationTokenFilter extends OncePerRequestFilter {    @Value("${jwt.header}")    private String tokenHeader;我希望這是有道理的。如果還有其他問題，請(qǐng)告訴我，但似乎無法解決這個(gè)問題。我首先添加了“特殊情況”，這是基本身份驗(yàn)證的一個(gè) url，但仍然沒有任何區(qū)別。謝謝