リクエストURLに対してアクセス認可は、http.authorizeRequests().antMatchers(...)で設定しますが、そのワイルドカードの指定についてメモしておきます。

*：同一階層のURLのみ対象

使用例

http
	.authorizeRequests()
		.antMatchers("/detail/*").permitAll()
		.anyRequest().authenticated();

• /detail/update, /detail/deleteなどは誰でもアクセス可能。
• /detail/1/update, /detail/2/deleteなどは未認証のユーザはアクセス不可。

**：指定階層以下のURLが対象

使用例

http
	.authorizeRequests()
		.antMatchers("/detail/**").permitAll()
		.anyRequest().authenticated();

• /detail/update, /detail/deleteなどは誰でもアクセス可能。
• /detail/1/update, /detail/2/deleteなども誰でもアクセス可能。

参考

• 6.5. 認可 — TERASOLUNA Global Framework Development Guideline 1.0.0.publicreview documentation