这仅与配置有关。它表示<intercept-url>将在<http />配置文件的标记中从上到下评估元素：

<http auto-config="true">
    <intercept-url pattern="/**" access="isAuthenticated" />
    <intercept-url pattern="/login.jsp" access="permitAll" />
</http>

在上面的示例中，我们试图仅允许经过身份验证的用户访问所有内容，除了登录页面（用户必须先登录，对吧！！）。但是，根据文档，这 将不起作用
，因为不太具体的匹配位于最前面。因此，完成此示例目标的正确配置之一是：

<http auto-config="true">
    <intercept-url pattern="/login.jsp" access="permitAll" />
    <intercept-url pattern="/**" access="isAuthenticated" />
</http>

将更具体的匹配放在最前面。

引号所说的最后一件事是关于HTTP方法的。您可以使用它来指定匹配项，因此：

<http auto-config="true">
    <intercept-url pattern="/client/edit" access="isAuthenticated" method="GET" />
    <intercept-url pattern="/client/edit" access="hasRole('EDITOR')" method="POST" />
</http>

在第二个示例中，/client/edit通过GET 访问仅需要对用户进行身份验证，但是/client/edit通过POST
访问（例如，提交编辑表单），用户需要具有该EDITOR角色。在某些地方可能不鼓励使用该url模式，但这只是一个示例。