Spring Security 5.7.0弃用 WebSecurityConfigurerAdapter

已于 2024-03-13 10:49:43 修改
阅读量1w 收藏 54
点赞数 16
分类专栏: spring security 文章标签: spring java spring boot 后端
于 2022-11-29 16:26:46 首次发布
原文链接:https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter
版权

文章目录

Spring Security 弃用 WebSecurityConfigurerAdapter

官网博客说明

官网博客链接地址:https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter

Spring Security 5.7.0-M2,我们弃用了 WebSecurityConfigurerAdapter ,因为我们鼓励用户转向使用基于组件的安全配置。

为了帮助大家熟悉这种新的配置风格,我们编制了一份常见用例表和推荐的新写法。

在下面的例子中,我们遵循最佳实践——使用 Spring Security lambda 领域专用语言(DSL)和 HttpSecurity#authorizeHttpRequests 方法来定义我们的授权规则。如果你对lambda领域专用语言(DSL)不熟悉,你可以在这篇博客了解它。如果你想知道为什么我们选择选择使用 HttpSecurity#authorizeHttpRequests ,你可以看这篇 参考文档

配置HttpSecurity

在Spring Security 5.4,我们介绍了创建一个SecurityFilterChain bean来配置HttpSecurity的功能。

下面是一个使用WebSecurityConfigurerAdapter和HTTP Basic保护所有端点的示例配置:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
    }
}

往后,我们建议注册一个SecurityFilterChain bean来做这件事:

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
        return http.build();
    }
}

配置WebSecurity

在Spring Security 5.4中,我们还引入WebSecurityCustomizer

WebSecurityCustomizer是一个回调接口,可以用来定制WebSecurity

下面是一个使用WebSecurityConfigurerAdapter忽略匹配/ignore1/ignore2的请求的示例配置:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers("/ignore1", "/ignore2");
    }
}

往后,我们建议注册一个WebSecurityCustomizer bean来做这件事:

@Configuration
public class SecurityConfiguration {
    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
    }
}

警告:如果你正在配置WebSecurity来忽略请求,建议你改为在HttpSecurity#authorizeHttpRequests内使用permitAll。想了解更多请参考configure Javadoc

LDAP认证

在Spring Security 5.7,我们引入EmbeddedLdapServerContextSourceFactoryBeanLdapBindAuthenticationManagerFactoryLdapPasswordComparisonAuthenticationManagerFactory,这些类都可以用来创建一个嵌入式的LDAP服务器;并且我们还引入一个AuthenticationManager类,它可以用来执行LDAP认证。

下面是一个使用是一个使用绑定验证的示例配置,它使用了WebSecurityConfigurerAdapter创建嵌入式LDAP服务器并且使用AuthenticationManager执行LDAP认证:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .ldapAuthentication()
            .userDetailsContextMapper(new PersonContextMapper())
            .userDnPatterns("uid={0},ou=people")
            .contextSource()
            .port(0);
    }
}

往后,我们建议使用新的LDAP类来做这件事:

@Configuration
public class SecurityConfiguration {
    @Bean
    public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
        EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
            EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
        contextSourceFactoryBean.setPort(0);
        return contextSourceFactoryBean;
    }

    @Bean
    AuthenticationManager ldapAuthenticationManager(
            BaseLdapPathContextSource contextSource) {
        LdapBindAuthenticationManagerFactory factory = 
            new LdapBindAuthenticationManagerFactory(contextSource);
        factory.setUserDnPatterns("uid={0},ou=people");
        factory.setUserDetailsContextMapper(new PersonContextMapper());
        return factory.createAuthenticationManager();
    }
}

JDBC认证

下面是一个示例配置,它在WebSecurityConfigurerAdapter内创建了一个使用默认模式初始化并且只有一个用户的内嵌DataSource

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .build();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.jdbcAuthentication()
            .withDefaultSchema()
            .dataSource(dataSource())
            .withUser(user);
    }
}

推荐的做法是创建一个JdbcUserDetailsManager bean来做这件事:

@Configuration
public class SecurityConfiguration {
    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .addScript(JdbcDaoImpl.DEFAULT_USER_SCHEMA_DDL_LOCATION)
            .build();
    }

    @Bean
    public UserDetailsManager users(DataSource dataSource) {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        JdbcUserDetailsManager users = new JdbcUserDetailsManager(dataSource);
        users.createUser(user);
        return users;
    }
}

注意:在这些例子中,我们为了可读性使用了User.withDefaultPasswordEncoder()。这不适合生产项目,我们建议在生产项目中使用散列密码。请按照参考文档所说的用Spring Boot命令行工具来做。

内存内认证

下面是一个示例配置,它在WebSecurityConfigurerAdapter配置了一个只存有一个用户的内存内用户:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.inMemoryAuthentication()
            .withUser(user);
    }
}

我们建议注册一个InMemoryUserDetailsManager bean来做这件事:

@Configuration
public class SecurityConfiguration {
    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }
}

注意:在这些例子中,我们为了可读性使用了User.withDefaultPasswordEncoder()。这不适合生产项目,我们建议在生产项目中使用散列密码。请按照参考文档所说的用Spring Boot命令行工具来做。

全局认证管理器

要创建一个整个应用都可以使用的AuthenticationManager,只需要使用@BeanAuthenticationManager注册为bean就可以了。

这种配置已经在上面的LDAP认证示例展示过了。

局部认证管理器

在Spring Security 5.6中,我们引入HttpSecurity#authenticationManager方法,这个方法可以为特定的SecurityFilterChain覆盖默认的AuthenticationManager

下面是一个示例配置,它设置了一个自定义的AuthenticationManager

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults())
            .authenticationManager(new CustomAuthenticationManager());
        return http.build();
    }
}

访问局部认证管理器

可以使用自定义领域专用语言(DSL)访问局部AuthenticationManager。这实际上是Spring Security内部实现HttpSecurity.authorizeRequests()等方法的方式。

public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
        http.addFilter(new CustomFilter(authenticationManager));
    }

    public static MyCustomDsl customDsl() {
        return new MyCustomDsl();
    }
}

然后,在构建SecurityFilterChain时可以应用自定义领域专用语言(DSL):

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    // ...
    http.apply(customDsl());
    return http.build();
}

欢迎加入

我们很高兴与您分享这些更新,我们期待通过您的反馈进一步增强 Spring 安全性!如果你有兴趣贡献,你可以在GitHub上找到我们。

引用

https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter
https://www.cnblogs.com/cnblog-user/p/16386942.html

字节微雕
关注
  • 16
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot:springboot学习百里香WebSecurityConfigurerAdapter
05-26
springboot springboot learn 在Eclispe中启动 选中DemoApplication.java, run as->Java Application, 然后登录 或者命令行下面C:\E\git_repo\springboot2\springboot\target>java -jar demo-0.0.1-SNAPSHOT.jar   the default user and password is 'admin' and 'admin'.   以admin登录, 就可以查看    而以user1/user1登录,查看 is denied domain对象是quickCD的domain PathVariableDemo result:Hi zhaoqiansunli周吴郑王 result:Add 33, Count:xx http://localhos
activemq-spring-5.7.0-javadoc.jar
07-17
标签:activemq-spring-5.7.0-javadoc.jar,activemq,spring,5.7.0,javadoc,jar包下载,依赖包
SpringSecurity5.7+最新案例 -- 授权 --
mose-x
08-07 3万+
书接上回 SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······ 本文 继续处理SpringSecurity授权 ...... 目前由 难 -> 简,即自定义数据库授权,注解授权,config配置授权
新版SpringSecurity配置(SpringBoot>2.7&SpringSecurity5.7
钟健的博客
05-17 1万+
在使用或者以上版本时,会提示:在 Spring Security 5.7.0-M2 中,我们弃用了,因为我们鼓励用户转向基于组件的安全配置。所以之前那种通过继承的方式的配置组件是不行的。同时也会遇到很多问题,例如:在向SpringSecurity过滤器链中添加过滤器时(例如:JWT支持,第三方验证),我们需要注入对象等问题。
深入理解 WebSecurityConfigurerAdapter【源码篇】(1),毕业设计软件技术
最新发布
2401_84159813的博客
04-08 705
SecurityBuilder 就是用来构建过滤器链的,在 HttpSecurity 实现 SecurityBuilder 时,传入的泛型就是 DefaultSecurityFilterChain,所以 SecurityBuilder#build 方法的功能很明确,就是用来构建一个过滤器链出来,但是那个过滤器链是 Spring Security 中的。,另一个则是 securityFilterChainBuilders,也就是我们通过 HttpSecurity 配置的过滤器链,有几个就算几个。
activemq-itest-spring31-5.7.0.jar
03-02
官方版本,亲测可用
WebSecurityConfigurerAdapter详解
热门推荐
wh柒八九的博客
10-18 7万+
本文来详细说下security中的WebSecurityConfigurerAdapter 文章目录概述 概述
Spring Security】—— WebSecurityConfigurerAdapter
qq_33471737的博客
06-20 3879
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurityConfigurerAdapter 继承关系图 Adapter 谷歌翻译:n. 【机】转接器 【网络】 适配器;适配器模式;接头。通过类名了解功能:我的理解,这个类是一个Web应用安全配置“接头”,及用户可通过这个“接头”接到自己的配置,也就是用户可以利用这个类来定制化安全配置。 SecurityBuilder 接口 对这个接口暂时没有细看,先根据官网了解了一下这个接口想要实
Spring SecurityWebSecurityConfigurerAdapter
weixin_43172297的博客
07-30 4968
文章目录一、WebSecurityConfigurerAdapter是什么?1.WebSecurityConfigurer是什么?2.WebSecurity2.1 WebSecurity定义2.2 AbstractConfiguredSecurityBuilder2.3二、使用步骤1.引入库2.读入数据总结 一、WebSecurityConfigurerAdapter是什么? WebSecurityConfigurerAdapter是为创建WebSecurityConfigurer实例提供方便的基类,该类允
WebSecurityConfigurerAdapter弃用
lazy_LYF的博客
10-12 2万+
Spring Security 5.7.0-M2 中,弃用了 `WebSecurityConfigurerAdapter`,Spring 鼓励用户转向基于组件的安全配置。
深入理解 WebSecurityConfigurerAdapter【源码篇】
江南一点雨的专栏
07-29 1万+
我们继续来撸 Spring Security 源码,今天来撸一个非常重要的 WebSecurityConfigurerAdapter。 我们的自定义都是继承自 WebSecurityConfigurerAdapter 来实现的,但是对于 WebSecurityConfigurerAdapter 内部的工作原理,配置原理,很多小伙伴可能都还不太熟悉,因此我们今天就来捋一捋。 我们先来看一张 WebSecurityConfigurerAdapter 的继承关系图: 在这层继承关系中,有两个非常重要的类: S
activemq-spring-5.7.0-sources.jar
07-17
标签:activemq-spring-5.7.0-sources.jar,activemq,spring,5.7.0,sources,jar包下载,依赖包
activemq-itest-spring31-5.7.0-sources.jar
03-02
官方版本,亲测可用
cdh5.7.0.zip
03-15
hadoop-2.6.0-cdh5.7.0.tar.gz hive-1.1.0-cdh5.7.0.tar.gz hbase-1.2.0-cdh5.7.0.tar.gz zookeeper-3.4.5-cdh5.10.0/ flume-ng-1.6.0-cdh5.10.1.tar.gz sqoop-1.4.6-cdh5.10.0.tar.gz spark-1.6.0-cdh5.7.0.tar.gz sqoop-1.4.6-cdh5.7.0.tar.gz
activemq-spring-5.7.0.jar
07-17
标签:activemq-spring-5.7.0.jar,activemq,spring,5.7.0,jar包下载,依赖包
Spring Security - 如何修复 WebSecurityConfigurerAdapter弃用
allway2的博客
11-10 6725
抽象类,如下所示:这对于Spring Security版本5.6.5或更早版本,或者Spring Boot版本2.6.8或更早版本很好。的 bean,如下所示:供您参考,下面是将安全配置迁移到基于组件的方法的代码示例。的代码中为 HttpSecurity 指定此身份验证提供程序,如下所示:这就是在具有 Spring 安全性的基于 Spring 的应用程序中删除警告“在这篇简短的文章中,我想分享如何摆脱在带有Spring Security的基于Spring的应用程序中的“,请使用以下代码:并在。
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring SecurityWeb 场景下的自定义配置。 @Con
spring-security-oauth2之WebSecurityConfigurerAdapter浅析
ldcaws的专栏
09-01 2114
void configure(HttpSecurity http) 这个是我们使用最多的,用来配置 HttpSecurityWebSecurityConfigurerAdapter继承自WebSecurityConfigurer,在Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurityConfiguration 来配置的。...
SpringSecurity的PermitAll、WebSecurityCustomizer和授权
qq_18841277的博客
12-09 3723
当使用PermitAll的时候,SpringSecurity会拿到你放行的请求进行判断,因此不会被SpringSecurity默认的过滤器所拦截,但是可能会被我们重写的过滤器所拦截,但是当在授权的时候如果实现了。的时候,过滤器会忽略后面请求的路径,默认就不会走springSecurity的过滤器和重写的springSecurity的过滤器。在SpringSecurity的日常开发中,可能使用SpringSecurity的PermitAll()请求还是会被拦截,这是为什么呢?决定此次请求是否被允许访问的。
没有找到WebSecurityConfigurerAdapter
04-01
WebSecurityConfigurerAdapterSpring Security提供的一个配置类,用于配置安全策略。如果没有找到该类,可以检查以下几点: 1. 确认是否已经引入了Spring Security相关依赖,例如spring-boot-starter-securityspring-security-webspring-security-config等。 2. 确认是否正确配置了Spring Security,例如在配置类上添加@EnableWebSecurity注解。 3. 确认是否正确继承了WebSecurityConfigurerAdapter,并重写了其中需要配置的方法,例如configure(HttpSecurity http)方法。 如果以上步骤都正确,但仍然找不到WebSecurityConfigurerAdapter类,可以尝试重新导入相关依赖或者使用较新版本的Spring Security

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值