Spring Security即将弃用配置类WebSecurityConfigurerAdapter

最新推荐文章于 2024-05-12 06:25:23 发布
最新推荐文章于 2024-05-12 06:25:23 发布
阅读量6.1k 收藏 34
点赞数 14
文章标签: 过滤器 java spring spring boot web
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_35067322/article/details/123081005
版权

efd4900a2b6c89834f20b3b68fc4a71d.gif

2022年的开工福利已经发布,点击下面按钮获取最新PDF。

80585607d1710d649d0853071f9f57df.png

用过WebSecurityConfigurerAdapter的都知道对Spring Security十分重要,总管Spring Security的配置体系。但是马上这个类要废了,你没有看错,这个类将在5.7版本被@Deprecated所标记了,未来这个类将被移除。

433e27629a9f5344be655bc7ba3ba601.png
相关的issues已经被处理并关闭

对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。

早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技术了。

版本需要Spring Security 5.4.x及以上。

HttpSecurity新旧玩法对比

旧玩法:

@Configuration
static class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/**")
            .authorizeRequests(authorize -> authorize
                    .anyRequest().authenticated()
            );
    }
}

新玩法:

@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http
            .antMatcher("/**")
            .authorizeRequests(authorize -> authorize
                    .anyRequest().authenticated()
            )
            .build();
}

相关原理去看这一篇文章

WebSecurity新旧玩法对比

使用WebSecurity.ignoring()忽略某些URL请求,这些请求将被Spring Security忽略,这意味着这些URL将有受到 CSRF、XSS、Clickjacking 等攻击的可能。以下示例仅仅作为演示,请勿使用在生产环境。是不是又学到了呢?

旧玩法:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) {
        // 仅仅作为演示
        web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

新玩法:

@Configuration
public class SecurityConfiguration {

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        // 仅仅作为演示
        return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

如果你需要忽略URL,请考虑通过HttpSecurity.authorizeHttpRequestspermitAll来实现。

AuthenticationManager新旧玩法对比

AuthenticationManager配置主要分为全局的(Global )、本地的(Local)。

旧玩法
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication();
    }
}

上面是通过WebSecurityConfigurerAdapter开启的是本地配置。开启全局配置需要覆写其authenticationManagerBean()方法并标记为Bean:

@Bean(name name="myAuthenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
新玩法

本地配置通过HttpSecurity.authenticationManager实现:

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults())
            .authenticationManager(new CustomAuthenticationManager());
    }

}

全局配置摆脱了依赖WebSecurityConfigurerAdapter.authenticationManagerBean()方法,只需要定义一个AuthenticationManager类型的Bean即可:

@Bean
    AuthenticationManager ldapAuthenticationManager(
            BaseLdapPathContextSource contextSource) {
        LdapBindAuthenticationManagerFactory factory = 
            new LdapBindAuthenticationManagerFactory(contextSource);
        factory.setUserDnPatterns("uid={0},ou=people");
        factory.setUserDetailsContextMapper(new PersonContextMapper());
        return factory.createAuthenticationManager();
    }

当然还可以通过自定义GlobalAuthenticationConfigurerAdapter并注入Spring IoC来修改AuthenticationManagerBuilder,不限制数量,但是要注意有排序问题。相关的思维导图:

dc5ae58e377e91a781efaba54ee30634.png

最后

很多技术方案都不是直接更改的,是会有一个变化的过程,只要你紧追变化,其实也就没有变化。这一篇是不是学会了不少呢?欢迎留言发表看法,当然点赞再看也不能少哦。

Spring Security的内置过滤器是如何维护的

2022-02-21

7ce1286418f16b078dcba8ffd5247e01.png

附DEMO| 绝活!Spring Security过滤器就该这么配置

2022-02-16

23ef0566f886f5bbc3a2dc1442a8df7e.png

OAuth2授权服务器Keycloak宣布不再适配Spring Boot和Spring Security

2022-02-15

0156e6052fd0e8b006b6e7fc5e12f0e8.png

f4815fa40ba165ad8f32a0151bd0e39e.gif

7b3ac252dbba46549694cdab0e16652d.png

码农小胖哥
关注
  • 14
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 11
    评论
用着用着就过时了~WebSecurityConfigurerAdapter
Gavin
06-06 8399
今天在写Spring(最新版本)框架,控制前端登录,配置在继承WebSecurityConfigurerAdapter时,报告说过时了,几个月前好用的好好的,说过时就过时了!技术变化还真是快!既然过时了,那以后该怎么写呢?对于普通小白程序员虽然我们无法写出那些大佬底层的代码,咱也得确保咱会用不是!于是乎,网上查API,写代码-变化就是不需要继承WebSecurityConfigurerAdapter,而是 注入一个过滤链的Bean,通过这个过滤链去处理用户登录的请求;该过滤链返回值为–SecurityFi
Spring SecurityWebSecurityConfigurerAdapter
weixin_43172297的博客
07-30 5884
文章目录一、WebSecurityConfigurerAdapter是什么?1.WebSecurityConfigurer是什么?2.WebSecurity2.1 WebSecurity定义2.2 AbstractConfiguredSecurityBuilder2.3二、使用步骤1.引入库2.读入数据总结 一、WebSecurityConfigurerAdapter是什么? WebSecurityConfigurerAdapter是为创建WebSecurityConfigurer实例提供方便的基,该
2024年Web前端最新深入理解 WebSecurityConfigurerAdapter【源码篇】,BAT面试&高级进阶
最新发布
2301_82243626的博客
05-12 908
一个好的心态和一个坚持的心很重要,很多冲着高薪的人想学习前端,但是能学到最后的没有几个,遇到困难就放弃了,这种人到处都是,就是因为有的东西难,所以他的回报才很大,我们评判一个前端开发者是什么水平,就是他解决问题的能力有多强。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】分享一些前端面试题以及学习路线给大家所以关于这两个的介绍以及作用,松哥这里就不赘述了。咱们直接从 WebSecurityConfigurer 开始看起。
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
热门推荐
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
WebSecurityConfigurerAdapter过期处理
xiaofan空欢喜的博客
08-10 4982
1.从原方案继承WebSecurityConfigurerAdapter改为使用注解@EnableWebSecurity。2.过期以后原有的configure方法和AuthenticationManager也可能会出问题,建议使用新方案。
springsecurityWebSecurityConfigurerAdapter弃用后,jdbc实现登录功能
m0_63218762的博客
06-19 438
最新的springsecurity+mybatis+springboot ,WebSecurityConfigurerAdapter弃用后的学习
详解springSecurityjava配置
08-18
使用 Java 配置 Spring Security,需要在配置上添加 @EnableWebSecurity 注解,以便开启 Spring Security 的安全功能。在配置中,我们可以定义一个名为 UserDetailsService 的 Bean,该 Bean 负责设置账号密码...
详解spring security 配置多个AuthenticationProvider
08-30
我们可以创建一个自定义的 SecurityConfig ,继承自 Spring SecurityWebSecurityConfigurerAdapter,然后在其中注册我们的自定义 AuthenticationProvider。 ```java @Configuration @EnableWebSecurity public...
SpringSecurity如何实现配置单个HttpSecurity
08-18
我们需要创建一个继承 WebSecurityConfigurerAdapter配置,并使用 @Configuration 注解。 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override ...
Spring Security 基本使用配置代码
10-07
这是自定义Spring Security配置的主要地方。你可以重写`configure(HttpSecurity http)`方法来定义HTTP安全规则。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
WebSecurityConfigurerAdapter过时,新方法替代
qq_45524787的博客
06-26 1万+
WebSecurityConfigurerAdapter过时,新方法替代
添加spring-boot-starter-security无法导入WebSecurityConfigurerAdapter
weixin_74790618的博客
11-16 648
使用springboot 3.XX.XX无法导入WebSecurityConfigurerAdapterWebSecurityConfigurerAdapter被当前版本的spring弃用了)将版本改查2.X.X就可以解决了(无需添加spring-security-config,会引发依赖冲突,因为starter-security的子依赖包含security-config)
深入理解 WebSecurityConfigurerAdapter【源码篇】
2401_84446580的博客
05-03 834
资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。http.and()[外链图片转存中…(img-FhMlKjMO-1714729010990)][外链图片转存中…(img-yXxArca0-1714729010992)]资料过多,篇幅有限开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。
深入理解 WebSecurityConfigurerAdapter【源码篇】(1),毕业设计软件技术
2401_84159813的博客
04-08 748
SecurityBuilder 就是用来构建过滤器链的,在 HttpSecurity 实现 SecurityBuilder 时,传入的泛型就是 DefaultSecurityFilterChain,所以 SecurityBuilder#build 方法的功能很明确,就是用来构建一个过滤器链出来,但是那个过滤器链是 Spring Security 中的。,另一个则是 securityFilterChainBuilders,也就是我们通过 HttpSecurity 配置过滤器链,有几个就算几个。
SpringSecurity去掉WebSecurityConfigurerAdapter配置方法
2301_77345366的博客
03-30 826
Spring Security 5.7.0-M2开始 WebSecurityConfigurerAdapter 被标记为过期,鼓励用户转向基于组件的 security 配置
Spring Security---ONE
m0_53157173的博客
11-18 757
Spring Security知识点重点和盲点整理Http Basic登录认证的流程和原理PasswordEncoder详解PasswordEncoder 接口接口实现formLogin模式登录认证说明登录认证及资源访问权限的控制用户及角色信息配置 Http Basic登录认证的流程和原理 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protec
------分割线之 WebSecurityConfigrerAdapter弃用问题------
w_t_y_y的博客
04-26 348
弃用的原因是 Spring Security 项目的维护者希望将项目的主要开发工作集中在新的配置方式上,即基于 Java配置Java Configuration)和基于 Lambda 的表达式。这主要是因为 Spring 5.0 引入了重量级的 Java 配置支持,而。鉴于WebSecurityConfigrerAdapter弃用,这个系列使用GlobalAuthenticationConfigurerAdapter。是基于 XML 的配置方式,并不完全兼容 Java 配置
spring authorization server的 Spring Security 配置中 无法继承WebSecurityConfigurerAdapter 。为什么
06-10
Spring Authorization Server 中,Spring Security配置是由 `AuthorizationServerSecurityConfiguration` 和 `AuthorizationServerConfigurerAdapter` 两个来完成的,其中 `...`WebSecurityConfigurer<Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农小胖哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值