用的挺顺手的 Spring Security 配置类,居然就要被官方弃用了

最新推荐文章于 2024-04-26 15:27:43 发布
最新推荐文章于 2024-04-26 15:27:43 发布
阅读量2.2k 收藏 9
点赞数 2
文章标签: spring java 后端
原文链接:https://blog.csdn.net/qq_35067322/article/details/123081005
版权

用过 WebSecurityConfigurerAdapter 的都知道对 Spring Security 十分重要,总管 Spring Security 的配置体系。但是马上这个类要废了,你没有看错,这个类将在5.7版本被 @Deprecated 所标记了,未来这个类将被移除。

相关的issues已经被处理并关闭

对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。

早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技术了。

版本需要 Spring Security 5.4.x 及以上。

HttpSecurity新旧玩法对比

旧玩法:

@Configuration
static class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/**")
            .authorizeRequests(authorize -> authorize
                    .anyRequest().authenticated()
            );
    }
}

新玩法:

@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
            .antMatcher("/**")
            .authorizeRequests(authorize -> authorize
                    .anyRequest().authenticated()
            )
            .build();
}

相关原理去看这一篇文章。

WebSecurity新旧玩法对比

使用 WebSecurity.ignoring() 忽略某些URL请求,这些请求将被 Spring Security 忽略,这意味着这些URL将有受到 CSRF、XSS、Clickjacking 等攻击的可能。以下示例仅仅作为演示,请勿使用在生产环境。是不是又学到了呢?

旧玩法:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) {
        // 仅仅作为演示
        web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

新玩法:

@Configuration
public class SecurityConfiguration {

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        // 仅仅作为演示
        return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

如果你需要忽略URL,请考虑通过 HttpSecurity.authorizeHttpRequests 的 permitAll 来实现。

AuthenticationManager新旧玩法对比

AuthenticationManager 配置主要分为全局的(Global )、本地的(Local)。

旧玩法

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication();
    }
}

上面是通过 WebSecurityConfigurerAdapter 开启的是本地配置。开启全局配置需要覆写其 authenticationManagerBean() 方法并标记为Bean:

       @Bean(name name="myAuthenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

新玩法

本地配置通过 HttpSecurity.authenticationManager 实现:

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults())
            .authenticationManager(new CustomAuthenticationManager());
    }

}

全局配置摆脱了依赖 WebSecurityConfigurerAdapter.authenticationManagerBean() 方法,只需要定义一个 AuthenticationManager 类型的Bean即可:

    @Bean
    AuthenticationManager ldapAuthenticationManager(
            BaseLdapPathContextSource contextSource) {
        LdapBindAuthenticationManagerFactory factory = 
            new LdapBindAuthenticationManagerFactory(contextSource);
        factory.setUserDnPatterns("uid={0},ou=people");
        factory.setUserDetailsContextMapper(new PersonContextMapper());
        return factory.createAuthenticationManager();
    }

当然还可以通过自定义 GlobalAuthenticationConfigurerAdapter 并注入 Spring IoC 来修改 AuthenticationManagerBuilder ,不限制数量,但是要注意有排序问题。相关的思维导图:

最后

很多技术方案都不是直接更改的,是会有一个变化的过程,只要你紧追变化,其实也就没有变化。

Java面试那些事儿
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
江帅帅
06-06 3万+
Spring Security 5.7.1 最新配置细节,WebSecurityConfigurerAdapter 已废弃
Spring Security即将弃用WebSecurityConfigurerAdapter配置
qq_39652397的博客
02-22 9221
用过WebSecurityConfigurerAdapter的都知道对Spring Security十分重要,总管Spring Security配置体系。但是马上这个要废了,你没有看错,这个将在5.7版本被@Deprecated所标记了,未来这个将被移除。 对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。 早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技
------分割线之 WebSecurityConfigrerAdapter弃用问题------
最新发布
w_t_y_y的博客
04-26 370
弃用的原因是 Spring Security 项目的维护者希望将项目的主要开发工作集中在新的配置方式上,即基于 Java配置Java Configuration)和基于 Lambda 的表达式。这主要是因为 Spring 5.0 引入了重量级的 Java 配置支持,而。鉴于WebSecurityConfigrerAdapter的弃用,这个系列使用GlobalAuthenticationConfigurerAdapter。是基于 XML 的配置方式,并不完全兼容 Java 配置
WebSecurityConfigurerAdapter已弃用
热门推荐
lazy_LYF的博客
10-12 2万+
Spring Security 5.7.0-M2 中,弃用了 `WebSecurityConfigurerAdapter`,Spring 鼓励用户转向基于组件的安全配置
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
Spring Security - 如何修复 WebSecurityConfigurerAdapter 已弃用
allway2的博客
11-10 6972
抽象,如下所示:这对于Spring Security版本5.6.5或更早版本,或者Spring Boot版本2.6.8或更早版本很好。的 bean,如下所示:供您参考,下面是将安全配置迁移到基于组件的方法的代码示例。的代码中为 HttpSecurity 指定此身份验证提供程序,如下所示:这就是在具有 Spring 安全性的基于 Spring 的应用程序中删除警告“在这篇简短的文章中,我想分享如何摆脱在带有Spring Security的基于Spring的应用程序中的“,请使用以下代码:并在。
Spring Security6 全新写法,大变样!
江南一点雨的专栏
06-14 4813
自定义 JSON 登录也和之前旧版不太一样了。小伙伴们知道,Spring Security 中默认的登录接口数据格式是 key-value 的形式,如果我们想使用 JSON 格式来登录,那么就必须自定义过滤器或者自定义登录接口,下面松哥先来和小伙伴们展示一下这两种不同的登录形式。Spring Security 默认处理登录数据的过滤器是 UsernamePasswordAuthenticationFilter,在这个过滤器中,系统会通过。
Spring Security authenticationManager()返回null,必须定义authenticationManagerBean的原因分析
Hey_JC的博客
04-26 8949
问题场景: 最近在研究spring cloud alibaba微服务,也研究到了OAuth2.0第三方授权。在实现的过程中决定使用成熟的spring security框架作为来实现授权登录及第三方授权功能。但在整合的过程中遇到了一个奇怪的问题。即两个springboot应用,都在同一个maven父工程下,两个应用的依赖是一样的,依赖的版本也是一样的,并且两个应用的Security配置(即extends了WebSecurityConfigurerAdapter的配置)都是一样的。但一个能正常运行,另外一个
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码中,我们使用 Spring SecurityJava 配置方式,注册了我们的自定义 AuthenticationProvider 到 Spring Security 中。 最后,我们可以在应用程序中使用我们的自定义 AuthenticationProvider 进行身份...
详解springSecurityjava配置
08-18
要使用 Java 配置 Spring Security,需要在配置上添加 @EnableWebSecurity 注解,以便开启 Spring Security 的安全功能。在配置中,我们可以定义一个名为 UserDetailsService 的 Bean,该 Bean 负责设置账号密码...
SpringSecurity如何实现配置单个HttpSecurity
08-18
在使用 Spring Security 之前,我们需要创建一个 Spring Boot 项目,并导入相关依赖。我们可以使用 Maven 或 Gradle 来管理依赖。下面是一个简单的 Maven 依赖项: ```xml <groupId>org.springframework.boot ...
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
spring security国际化及UserCache的配置和使用
08-29
"Spring Security 国际化及 UserCache 配置和使用" Spring Security 是一个功能强大且灵活的安全框架,它提供了许多实用的特性来帮助开发者保护 Web 应用程序。今天,我们将探讨 Spring Security 中的国际化和 ...
Spring Security 5.7中,之前的 WebSecurityConfigurerAdapter 已经被废弃了。此时,Spring Security 不需要再去重写 configure()
weixin_73550568的博客
12-05 354
【代码】在Spring Security 5.7中,之前的 WebSecurityConfigurerAdapter 已经被废弃了。此时,Spring Security 不需要再去重写 configure()
SpringBoot3 - Spring Security 6.0 Migration
java scala
03-27 5195
最近在做SpringBoot2.x到3.0的升级。其中最主要的一部分是packageName的变更,另外一部分是对一些废弃/删除的进行替换。大部分升级都比较顺利,但是在SpringSecurity上遇到了不少坑。先看一下下面的代码这段代码在6.0有两个问题,一是标记为废弃,二是方法被移除,这两个问题我们一个个看。
关于Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题,SpringSecurity的最新最全配置
m0_61346425的博客
11-29 2304
进入springboot 2.7 后,一个重要的WebSecurityConfigurerAdapter过期了。
多个HttpSecurity配置(局部AuthenticationManager
weixin_43861630的博客
07-25 1180
1. 多端httpSecurity 2. 局部Authentication及Authorization 3. 多个token/多端token隔理 4. 多个httpSecurity配置
解决Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题
Mr.Cui的Java学习之路
02-20 6213
解决Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题
慢慢来就很简单的security学习(四)源码阅读httpSecurityAuthenticationManager
miyahejuzi的博客
08-26 2088
文章目录httpSecurity 的执行流程和 AuthenticationConfiguration 配置AuthenticationManager0x00 回顾0x01 从 WebSecurityConfigurerAdapter 里面的 getHttp() 开始0x02 看一下 AuthenticationConfiguration 里面做了些什么0x03 AuthenticationM...
配置AuthenticationManager
04-04
AuthenticationManagerSpring Security的核心接口之一,它是一个认证管理器,用于处理身份验证请求。在配置AuthenticationManager时,需要指定一个或多个AuthenticationProvider,它们将负责实际的身份验证工作。以下是配置AuthenticationManager的步骤: 1.创建一个实现了UserDetailsService接口的。 2.在Spring Security配置中,使用AuthenticationManagerBuilder定义一个AuthenticationManager的实例。 3.在AuthenticationManagerBuilder中,使用userDetailsService()方法将步骤1中创建的UserDetailsService实例传递给AuthenticationManagerBuilder。 4.添加一个AuthenticationProvider实例,它将使用步骤1中创建的UserDetailsService实例进行身份验证。 5.在WebSecurityConfigurerAdapter中重写configure(AuthenticationManagerBuilder auth)方法,将AuthenticationManagerBuilder实例传递给该方法。 6.在configure(HttpSecurity http)方法中,使用authenticationManager()方法返回的AuthenticationManager实例,配置身份验证规则和访问控制规则。 以下是一个示例代码片段,演示了如何配置AuthenticationManager: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); auth.authenticationProvider(authenticationProvider()); } private AuthenticationProvider authenticationProvider() { DaoAuthenticationProvider provider = new DaoAuthenticationProvider(); provider.setUserDetailsService(userDetailsService); provider.setPasswordEncoder(passwordEncoder()); return provider; } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .antMatchers("/login/**").permitAll() .and() .formLogin() .loginPage("/login") .and() .logout() .logoutSuccessUrl("/login?logout") .and() .exceptionHandling() .accessDeniedPage("/access-denied"); } }
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值