Tengo un servicio web de descanso configurado como una aplicación de arranque de primavera. Todas mis URL de descanso tienen una ruta base "/ api / ...". También estoy sirviendo contenido estático desde mi aplicación. Necesito configurar la seguridad SOLO para el servicio web, es decir, las URL que comienzan con "/ api / ..." pero dan el otro contenido estático sin aplicar seguridad.

Solo he visto ejemplos en los que filtramos algunos patrones de URL a través de:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/resources/*");
}

pero no de otra manera ...