我通过使用两个安全配置解决了这个问题。一个用于我的REST api,它强制执行身份验证/授权。另一个具有可选的授权过滤器,仅在令牌存在时才使用该令牌。 现在唯一的缺点是所有查询和变异都默认对公众开放,需要一个 @PreAuthorize 注释要关闭。
@PreAuthorize