He implementado Spring Security en mi aplicación jsf. Todo funciona bien, excepto que los recursos estáticos requieren autenticación. Esta es mi configuracion

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();

    http.authorizeRequests()
            .antMatchers("/register", "/resources/**").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/login").permitAll()
           .usernameParameter("username").passwordParameter("password")
            .and().exceptionHandling().accessDeniedPage("/Access_Denied");
}

Después de hacer una búsqueda en Google, la mayoría de las soluciones fue agregar una etiqueta de recursos mvc.

  <mvc:resources mapping="/resources/**" location="/resources/"
    cache-period="31556926"/>

Encontré una anotación similar y agregué una clase de configuración para esto

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    // equivalents for <mvc:resources/> tags
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/resources/**").addResourceLocations("/resources/").setCachePeriod(31556926);
    }

    // equivalent for <mvc:default-servlet-handler/> tag
    @Override
    public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
        configurer.enable();
    }
}

Pero aún los recursos estáticos requieren autenticación. Alguna ayuda sería buena sobre cómo hacer que esto funcione.

Nota: mis recursos se colocan en/src/main/webapp/resources/{css|js|image}. Y el problema es que si el usuario no ha iniciado sesión, el efecto de css, js no se muestra en la página de inicio de sesión. Después de que un usuario haya iniciado sesión una vez, luego ven a la página de inicio de sesión después de iniciar sesión, aparece el efecto css.