При настройке SecurityFilterChain несовпадающие части приложения открываются по умолчанию. ⇐ JAVA

[Anonymous]

Spring Security закрыт по умолчанию, поэтому, если я не настрою SecurityFilterChain, все приложение весенней загрузки ответит 401, что и ожидается.
Теперь, если я настрою SecurityFilterChain для части приложения (/api), я заметил, что ненастроенная часть (/whatever) по умолчанию становится открытой:

Код: Выделить всё

@Bean
public SecurityFilterChain apiSecurityFilterChain(HttpSecurity http) throws Exception {
http.securityMatcher("/api/**")
.authorizeHttpRequests(authz -> authz
.requestMatchers("/api/**").hasAuthority("USER")
.anyRequest().denyAll())
.httpBasic(withDefaults());
return http.build();
}

Настройка SecurityMatcher("/api/**") не должна влиять на URL-адреса, не соответствующие этому шаблону, а ненастроенные части должны оставаться закрытыми по умолчанию.
Я нахожу такое поведение очень удивительным и хотел бы знать, намеренно это или нет.

Подробнее здесь: https://stackoverflow.com/questions/792 ... lication-o