SpringBoot - WebSecurityConfigurerAdapter的作用是什么?

最新推荐文章于 2024-05-06 18:20:01 发布
最新推荐文章于 2024-05-06 18:20:01 发布
阅读量3.9k 收藏 12
点赞数 2
分类专栏: SpringBoot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodjava2007/article/details/126132381
版权

写在前面

WebSecurityConfigurer 只是一个空接口,WebSecurityConfigurerAdapter 就是针对这个空接口提供一个具体的实现,最终目的还是为了方便配置 WebSecurity。

public abstract class WebSecurityConfigurerAdapter 
		        implements WebSecurityConfigurer<WebSecurity> {}

一句话:Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,它实现了默认的认证和授权,允许用户自定义一个WebSecurity类,重写其中的三个configure来实现自定义的认证和授权,这三个方法如下:

// 自定义身份认证的逻辑
protected void configure(AuthenticationManagerBuilder auth) throws Exception { }
// 自定义全局安全过滤的逻辑
public void configure(WebSecurity web) throws Exception { }
// 自定义URL访问权限的逻辑
protected void configure(HttpSecurity http) throws Exception { }

SpringBoot - HttpSecurity是什么?
SpringBoot - WebMvcConfigurer的作用是什么?

作用是什么?

WebSecurityConfigurerAdapter 管理着Spring Security的整个配置体系,主要包括用户身份认证的管理、全局安全过滤管理和URL访问权限控制的管理。

身份认证

/**
 * 身份认证接口
 */
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
}

/**
 * 强散列哈希加密实现
 */
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
    return new BCryptPasswordEncoder();
}

全局过滤

我们一般不会过多来自定义 WebSecurity , 使用较多的使其ignoring() 方法用来忽略 Spring Security 对静态资源的控制。

访问控制

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    // 注解标记允许匿名访问的url
    ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
    permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

    httpSecurity
            // CSRF禁用,因为不使用session
            .csrf().disable()
            // 认证失败处理类
            .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
            // 基于token,所以不需要session
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            // 过滤请求
            .authorizeRequests()
            // 1. 对于登录、注册和验证码等方法允许匿名访问
            .antMatchers("/login", "/register", "/captchaImage").anonymous()
            // 2. 对于静态资源允许任何用户访问
            .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
            // 3. 对于SWAGGER相关信息允许任何用户访问
            .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
            // 除上面1.2.3.以外的所有请求全部需要鉴权认证
            .anyRequest().authenticated()
            .and()
            .headers().frameOptions().disable();

    // 添加自定义的登出处理器
    httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
    // 在UsernamePasswordAuthenticationFilter之前添加自定义的JWT过滤器
    httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    // 在自定义的JWT过滤器前添加跨域过滤器
    httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
    // 在用户登出过滤器前添加跨域过滤器
    httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
}

WebSecurityConfigurerAdapter 和 ResourceServerConfigurerAdapter的区别

① 模块不同

A. WebSecurityConfigurerAdapter:是spring-security-config包中的;
B. ResourceServerConfigurerAdapter:是spring-security-oauth2中包中的;

② 优先级不同

①. 默认自动注册时@Order的优先级不同,@Order(数字),数字值越小,优先级越高,然后相同的方法只使用优先级高的,这也就是为啥同时使用资源服务配置与安全配置的时候,且不手动指定@Order注解的值的时候,后者的配置不生效,当然可以通过手动指定@Order(数字)来调整优先级的高低。
②. ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter同时使用只有ResourceServerConfigurerAdapter生效。
③. 如果想让WebSecurityConfigurerAdapter比ResourceServerConfigurerAdapter优先级高的话,只须将前者的@Order值设置的比后者的@Order值更低即可。
A. WebSecurityConfigurerAdapter:@Order(数字),数字大,优先级低;
B. ResourceServerConfigurerAdapter:@Order(数字),数字小,优先级高;

cloneme01
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot-Vue-OnlineExam.zip
06-15
该项目是基于Springboot的前后端分离的在线考试系统,前端使用vue框架,使用时,开启户端服务即可访问前端系统,进行考试答题。
springboot-javafx-support:SpringBoot JavaFX8 集成
08-04
springboot-javafx-support 注意:当前 master 是针对 Spring Boot 2 和 Spring Framework 5。 最新的生产就绪版本: 对于 Spring Boot 1.5.x 是 1.4.5。 (生命尽头!) 对于 Spring Boot 2.x 是 2.1.6。 Spring Boot 和 JavaFx - 绝配! 您至少需要 JDK1.8 补丁级别 40。 !!! 当前不可用... 服务器崩溃! 在此处查找分步示例: : !!! 还有一堆例子: :
关于WebSecurityConfigurerAdapter和ResourceServerConfigurerAdapter区别联系
PYJcsdn的博客
03-14 3274
1、ResourceServerConfigurerAdapter被配置为不同的端点(参见antMatchers),而WebSecurityConfigurerAdapter不是。 这两个适配器之间的区别在于,RealServServer配置适配器使用一个特殊的过滤器来检查请求中的承载令牌,以便通过OAuth2对请求进行认证。WebSecurityConfigurerAdapter适配器用于通过会话对用户进行身份验证(如表单登录) 2、WebSecurityConfigurerAdap...
Spring Security Config : WebSecurityConfigurerAdapter
Details Inside Spring
05-28 9749
概述 介绍 WebSecurityConfigurerAdapterSpring Security Config内置提供的一个WebSecurityConfigurer抽象实现类。WebSecurityConfigurerAdapter存在的目的是提供一个方便开发人员配置WebSecurity的基类。它提供了一组全方位配置WebSecurity的缺省方法实现。开发人员只要继承WebSecurit...
新版Spring Security弃用了WebSecurityConfigurerAdapter
weixin_43229159的博客
02-23 489
Spring Security 5.7.0-M2中,我们弃用了WebSecurityConfigurerAdapter,因为我们鼓励用户转向基于组件的安全配置。
Spring Security(二)--WebSecurityConfigurer配置以及filter顺序
weixin_34104341的博客
06-20 3144
  在认证过程和访问授权前必须了解spring Security如何知道我们要求所有用户都经过身份验证? Spring Security如何知道我们想要支持基于表单的身份验证?因此必须了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 1. WebSecurityConfigurerAdapter   W...
WebSecurityConfigurerAdapter详解
热门推荐
wh柒八九的博客
10-18 7万+
本文来详细说下security中的WebSecurityConfigurerAdapter 文章目录概述 概述
Spring Security】—— WebSecurityConfigurerAdapter
qq_33471737的博客
06-20 3851
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurityConfigurerAdapter 继承关系图 Adapter 谷歌翻译:n. 【机】转接器 【网络】 适配器;适配器模式;接头。通过类名了解功能:我的理解,这个类是一个Web应用安全配置“接头”,及用户可通过这个“接头”接到自己的配置,也就是用户可以利用这个类来定制化安全配置。 SecurityBuilder 接口 对这个接口暂时没有细看,先根据官网了解了一下这个接口想要实
Spring SecurityWebSecurityConfigurerAdapter
weixin_43172297的博客
07-30 4622
文章目录一、WebSecurityConfigurerAdapter是什么?1.WebSecurityConfigurer是什么?2.WebSecurity2.1 WebSecurity定义2.2 AbstractConfiguredSecurityBuilder2.3二、使用步骤1.引入库2.读入数据总结 一、WebSecurityConfigurerAdapter是什么? WebSecurityConfigurerAdapter是为创建WebSecurityConfigurer实例提供方便的基类,该类允
WebSecurityConfigurerAdapter已弃用
lazy_LYF的博客
10-12 2万+
Spring Security 5.7.0-M2 中,弃用了 `WebSecurityConfigurerAdapter`,Spring 鼓励用户转向基于组件的安全配置。
深入理解 WebSecurityConfigurerAdapter【源码篇】
江南一点雨的专栏
07-29 1万+
我们继续来撸 Spring Security 源码,今天来撸一个非常重要的 WebSecurityConfigurerAdapter。 我们的自定义都是继承自 WebSecurityConfigurerAdapter 来实现的,但是对于 WebSecurityConfigurerAdapter 内部的工作原理,配置原理,很多小伙伴可能都还不太熟悉,因此我们今天就来捋一捋。 我们先来看一张 WebSecurityConfigurerAdapter 的继承关系图: 在这层继承关系中,有两个非常重要的类: S
joylau-springboot-daemon-windows:将SpringBoot应用制作为Windows Services服务| 使Spring Boot模块进入Windows服务
01-30
一款将SpringBoot项目内置Windows Service的Maven插件包括但不限于SpringBoot,任何打成java jar包运行的Maven项目都可以使用编写初衷公司有个项目Java部分的全部使用的是SpringBoot该项目的部署环境是Windows公司想...
基于springboot-vue.js的购票系统.zip
10-15
基于springboot-vue.js的购票系统基于springboot-vue.js的购票系统 基于springboot-vue.js的购票系统基于springboot-vue.js的购票系统 基于springboot-vue.js的购票系统基于springboot-vue.js的购票系统 基于...
SpringBoot-Vue-OnlineExam.rar
07-29
基于SpringBoot-Vue的在线考试系统
Spring Boot应用部署 - JAR包Docker部署
闫小甲的专栏
04-28 1213
要使用Docker部署Spring Boot应用,需要创建一个Dockerfile来定义如何构建Docker镜像,并且可能还需要在Maven构建脚本中集成Docker插件以简化构建过程。
小程序商城|基于Spring Boot的智能小程序商城的设计与实现(源码+数据库+文档)
JIngJaneIL的博客
04-29 1436
智能小程序商城使用Java语言进行编码,使用Mysql创建数据表保存本系统产生的数据。系统可以提供信息显示和相应服务,其管理智能小程序商城信息,查看智能小程序商城信息,管理智能小程序商城。总之,智能小程序商城集中管理信息,有着保密性强,效率高,存储空间大,成本低等诸多优点。它可以降低信息管理成本,实现信息管理计算机化。关键词:智能小程序商城;Java语言;Mysql。
Spring Boot 统一数据返回格式:优化前后端开发协作的利器
良月柒
04-29 751
通过本文的介绍,我们了解了Spring Boot中统一数据返回格式的重要性,以及如何设计和处理统一的数据返回格式。统一的数据返回格式可以使得接口返回的数据格式规范、统一、易于理解和处理,提高了前后端开发的效率和协作效果。希望本文能够帮助你更好地理解和应用Spring Boot中的统一数据返回格式。
如何在Spring Boot中配置数据库密码加密
weixin_43816998的博客
04-28 991
Spring Boot中配置数据库密码加密
基于Spring Boot的民宿管理平台设计与实现
最新发布
wudixiuluo的博客
05-06 261
随着科学技术的飞速发展,各行各业都在努力与现代先进技术接轨,通过科技手段提高自身的优势;对于民宿管理平台系统当然也不能排除在外,随着网络技术的不断成熟,带动了民宿管理平台系统,它彻底改变了过去传统的管理方式,不仅使服务管理难度变低了,还提升了管理的灵活性。民宿管理平台系统,主要的模块包括管理员;首页、民宿信息、房间信息、个人中心、后台管理、在线客服等功能。系统中管理员主要是为了安全有效地存储和管理各类信息,还可以对系统进行管理与更新维护等操作,并且对企业有相应的操作权限。
springboot-actuator未授权
09-14
您好!对于未授权的springboot-actuator,您可以尝试以下解决方案: 1. 检查配置文件:确保您的应用程序的配置文件中已正确配置了安全认证。您可以在application.properties或application.yml文件中查找以下配置项: management.security.enabled=true 如果该配置项已启用,并且您仍然遇到未授权的问题,请继续尝试下一个解决方案。 2. 添加访问权限:您可以为actuator端点添加访问权限。在您的配置文件中添加以下配置来设置允许访问的角色: management.endpoints.web.exposure.include=* management.endpoint.health.roles=ACTUATOR_ADMIN 这将允许所有角色访问所有的actuator端点。您可以根据需要更改角色名称或将其限制为特定角色。 3. 自定义安全配置:如果默认的安全配置不适用于您的需求,您可以自定义Spring Security配置。创建一个类,继承自WebSecurityConfigurerAdapter,并重写configure方法。在该方法中,您可以定义自己的安全规则和访问规则。 例如,您可以创建一个类似于以下示例的配置: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/**").hasRole("ACTUATOR_ADMIN") .anyRequest().authenticated() .and() .httpBasic(); } } ``` 这将要求用户在访问actuator端点时进行身份验证,并且只有具有ACTUATOR_ADMIN角色的用户才能访问。 请注意,根据您的具体需求,您可能需要调整上述解决方案的细节。希望这些提示对您有帮助!如有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值