刚好我之前也处理过类似的场景——Spring Security默认会把配置的HttpFirewall全局应用，但咱们可以通过多HttpSecurity配置实现路径隔离的Firewall设置，完美解决你的需求。

核心思路 #

Spring Security支持定义多个HttpSecurity实例，每个实例可以绑定特定的URL路径、独立的安全规则（包括HttpFirewall），通过@Order（Java配置）或order属性（XML配置）控制匹配优先级，让特定路径的请求先命中对应的配置。

方式一：Java配置（推荐） #

1. 定义两个HttpFirewall实例 #

分别创建DAV专用的宽松版，和全局默认的严格版：

@Bean
public StrictHttpFirewall davHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setUnsafeAllowAnyHttpMethod(true); // 允许DAV需要的特殊HTTP方法
    return firewall;
}

@Bean
public StrictHttpFirewall defaultHttpFirewall() {
    return new StrictHttpFirewall(); // 保留默认的严格安全规则
}

2. 配置多HttpSecurity规则 #

用@Order控制优先级，让DAV的配置先匹配：

@Configuration
@EnableWebSecurity
public class MultiHttpSecurityConfig {

    @Autowired
    private StrictHttpFirewall davHttpFirewall;

    @Autowired
    private StrictHttpFirewall defaultHttpFirewall;

    // DAV路径专用配置，优先级更高（order值越小越先匹配）
    @Configuration
    @Order(1)
    public static class DavWebSecurityConfig extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                // 只匹配/dav/**路径
                .requestMatchers()
                    .antMatchers("/dav/**")
                    .and()
                // 对应你原来的create-session="never"
                .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.NEVER)
                    .and()
                // 对应原来的security="none"，允许所有访问
                .authorizeRequests()
                    .anyRequest().permitAll()
                    .and()
                // 给DAV路径绑定自定义的宽松Firewall
                .httpFirewall(davHttpFirewall);
        }
    }

    // 全局默认配置，处理除/dav/**外的所有请求
    @Configuration
    @Order(2)
    public static class DefaultWebSecurityConfig extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                // 绑定默认的严格Firewall
                .httpFirewall(defaultHttpFirewall)
                // 这里可以根据你的实际需求配置全局权限规则
                .authorizeRequests()
                    .anyRequest().authenticated()
                    .and()
                // 其他全局安全配置（比如表单登录、CSRF防护等）
                .formLogin()
                    .permitAll();
        }
    }
}

方式二：XML配置 #

如果你习惯用XML，同样可以通过多个<security:http>标签实现：

<!-- DAV专用配置，order=1，优先级更高 -->
<security:http pattern="/dav/**" create-session="never" order="1">
    <!-- 给DAV路径绑定自定义Firewall -->
    <security:http-firewall ref="davRequestsHttpFirewall"/>
    <!-- 对应原来的security="none" -->
    <security:intercept-url pattern="/dav/**" access="permitAll"/>
</security:http>

<!-- 默认全局配置，order=2，处理其他所有请求 -->
<security:http order="2">
    <!-- 绑定默认的严格Firewall -->
    <security:http-firewall ref="defaultHttpFirewall"/>
    <!-- 全局权限规则，可根据需求调整 -->
    <security:intercept-url pattern="/**" access="authenticated"/>
    <!-- 其他全局配置 -->
    <security:form-login/>
</security:http>

<!-- 定义两个Firewall实例 -->
<bean id="davRequestsHttpFirewall" class="org.springframework.security.web.firewall.StrictHttpFirewall" 
      p:unsafeAllowAnyHttpMethod="true"/>
<bean id="defaultHttpFirewall" class="org.springframework.security.web.firewall.StrictHttpFirewall"/>

关键注意事项 #

• 优先级顺序：一定要确保特定路径的配置（比如/dav/）的order值更小，否则如果全局配置（/）先被匹配，DAV的规则就不会生效了。
• 权限规则对齐：记得保持你原来配置的create-session="never"和security="none"的行为，在新配置里用SessionCreationPolicy.NEVER和permitAll()对应。

内容的提问来源于stack exchange，提问作者andreak