spring security中WebSecurityCustomizer的使用

最新推荐文章于 2024-09-18 18:50:15 发布
最新推荐文章于 2024-09-18 18:50:15 发布
阅读量477 收藏 8
点赞数 5
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34278711/article/details/141712725
版权

`WebSecurityCustomizer` 是 Spring Security 5.0 引入的一个接口,用于配置 Spring Security 过滤器的自定义行为。它主要用于提供一种简便的方式来定制 Web 应用程序的安全性设置。

1. `WebSecurityCustomizer` 概述

`WebSecurityCustomizer` 的主要作用是定制 Spring Security 的过滤器链。它允许你针对不同的请求路径或条件配置不同的安全设置,从而实现更细粒度的控制。

2. `WebSecurityCustomizer` 的作用

`WebSecurityCustomizer` 主要有以下几个作用:
- **自定义请求路径**:可以指定某些请求路径不经过 Spring Security 的过滤器链处理。
- **配置默认的安全设置**:可以设置默认的安全配置,例如哪些路径是公开的,哪些路径需要认证等。
- **增加或修改过滤器**:可以在 Spring Security 过滤器链中增加自定义的过滤器,或修改现有的过滤器配置。

3. 使用 `WebSecurityCustomizer`

在 Spring Security 5.0 及以上版本中,可以通过实现 `WebSecurityCustomizer` 接口来自定义安全设置。具体步骤如下:

#### 3.1 创建 `WebSecurityCustomizer` Bean

首先,你需要创建一个实现了 `WebSecurityCustomizer` 接口的 Bean。以下是一个简单的示例:```java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurityCustomizer;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return new WebSecurityCustomizer() {
            @Override
            public void customize(HttpSecurity http) throws Exception {
                // Define custom security settings here
                http
                    .authorizeRequests()
                        .antMatchers("/public/**").permitAll() // Public access
                        .anyRequest().authenticated(); // All other requests require authentication
            }
        };
    }
}


```

#### 3.2 配置过滤器链

你可以通过配置过滤器链来决定哪些请求路径需要经过安全检查,哪些不需要。例如,可以设置某些静态资源或公开 API 不经过安全过滤器:```java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // Public paths
                .anyRequest().authenticated(); // All other paths require authentication
    }
}


```

#### 3.3 使用 Lambda 表达式配置(Spring Security 5.0+)

在 Spring Security 5.0 及以上版本中,你可以使用 lambda 表达式来进行更简洁的配置:```java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests(authorizeRequests ->
                authorizeRequests
                    .antMatchers("/public/**").permitAll() // Public access
                    .anyRequest().authenticated() // All other requests require authentication
            );
    }
}


```

4. 注意事项

- **顺序问题**:`WebSecurityCustomizer` 的配置会影响到整个过滤器链的行为,因此需要谨慎配置,以确保不会意外地暴露或保护某些请求。
- **版本兼容性**:确保你使用的 Spring Security 版本支持 `WebSecurityCustomizer`,因为一些功能可能在不同的版本中有所变化。

总的来说,`WebSecurityCustomizer` 是一个强大且灵活的工具,用于细化 Spring Security 的配置,使你可以根据具体需求定制应用程序的安全设置。

weixin_34278711
关注
Spring Security 6.x 系列【47】配置篇之HttpSecurityWebSecurity
记录知识、锤炼自我
05-30 1782
在之前的文档,关于配置,我们都是基于HttpSecurity构建SecurityFilterChain,也了解了很多Spring Security的相关配置,接下来继续介绍一些其他用法。
springsecurity5.7.x和springsecurity6.x配置文件对比
程序猿的傻白甜
11-24 897
SecurityConfig配置文件
Spring Security即将弃用配置类WebSecurityConfigurerAdapter
geejkse_seff的博客
08-02 714
很多技术方案都不是直接更改的,是会有一个变化的过程,只要你紧追变化,其实也就没有变化。这一篇是不是学会了不少呢?欢迎留言发表看法,当然、再看也不能少哦。SpringSecurity的内置过滤器是如何维护的2022-02-21[这里是图片005]附DEMO|绝活!SpringSecurity过滤器就该这么配置2022-02-16[这里是图片006]OAuth2授权服务器Keycloak宣布不再适配SpringBoot和SpringSecurity2022-02-15https。...
SpringSecurity的PermitAll、WebSecurityCustomizer和授权
qq_18841277的博客
12-09 4222
使用PermitAll的时候,SpringSecurity会拿到你放行的请求进行判断,因此不会被SpringSecurity默认的过滤器所拦截,但是可能会被我们重写的过滤器所拦截,但是当在授权的时候如果实现了。的时候,过滤器会忽略后面请求的路径,默认就不会走springSecurity的过滤器和重写的springSecurity的过滤器。在SpringSecurity的日常开发,可能使用SpringSecurity的PermitAll()请求还是会被拦截,这是为什么呢?决定此次请求是否被允许访问的。
WebSecurityCustomizer
最新发布
2401_85480529的博客
09-18 352
WebSecurityCustomizer 通常不需要和其他类直接搭配使用,它是一个独立的配置接口,用于定义哪些请求路径或资源不需要进入 Spring Security 过滤器链。是一个用于配置 Spring Security 忽略特定路径的接口,主要用于排除某些不需要进行安全处理的资源(如静态资源或特定的公共 API)。是 Spring Security 提供的一个接口,用于配置 Spring Security 应该忽略的请求路径或静态资源。:对于无需认证的健康检查路径或公开 API,可以直接通过。
Spring Security 5.7.0弃用 WebSecurityConfigurerAdapter
热门推荐
OLinOne的博客
11-29 1万+
Spring Security 5.7.0版本开始弃用 WebSecurityConfigurerAdapter 类,本篇文章参考Spring 博客文章介绍了如何在 5.7.0 版本之后正确使用Spring Security授权和认证等方式。
SpringBoot Security 入门
weixin_42555971的博客
10-20 630
init
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1425
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
Spring Boot + Spring Security 实战代码教程及踩过的坑(小白创作)
weixin_48074496的博客
06-14 1712
本文章是一个小白学习Spring Security的全部过程及踩过坑 先是准备对应DAO层代码 @Op package edu.gdit.dormitory_repair_system.Dao; import edu.gdit.dormitory_repair_system.Model.Role; import edu.gdit.dormitory_repair_system.Model.User; import org.apache.ibatis.annotations.Mapper; impo
springsecurity6配置四
程序猿的傻白甜
11-24 1029
springsecurity6配置自定义登录验证方式
SpringSecurity学习
2301_76674286的博客
03-03 1065
Spring Security,作为Spring框架的重要组件,是一个功能全面且高度可定制的安全框架。它利用Spring的IoC/DI和AOP机制,提供了声明式的安全访问控制,显著减少了开发人员在实现系统安全时所需编写的重复代码。与javaEE的Servlet和EJB规范相比,Spring Security更加贴近企业级应用场景,其配置和功能是WAR/EAR级别独立的,因此更换服务器环境时无需大量重新配置。
SpringSecurity安全框架简介
xsgnzb的专栏
03-29 1604
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
Spring SecurityWebSecurityConfigurerAdapter被deprecated怎么办?官方推荐新的Security配置风格总结
Sihang_Xie的博客
01-27 6930
WebSecurityConfigurerAdapter被deprecated怎么办?这篇博文总结了官方推荐新的Security配置风格。
SpringSecurity系列学习之入门篇
在数字化道路无限探索
01-06 1274
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。学习SpringSecurity,一般都是从前后端不分离架构开始学习,然后学习前后端分离的JWT + SpringSecurity架构,之后再学习SpringSecurity + Oauth2微服务架构。现在大部分项目都是前后端分离的,为什么还需要去看前后端不分离架构下Spri
SpringSecurity------WebSecurityConfiguration配置类
ywb201314的专栏
03-15 1681
简单的说,这个类的作用就是用来创建FilterChainProxy,FilterChainProxy是一个Servlet Filter,他是一组SecurityFilterChain的代理,用于管理这些SecurityFilterChain。这个方法是接口ImportAware的方法,当前配置类是通过@EnableWebSecurity注解上的@Import注解引入的,实现该接口的方法使得当前配置类可以获取到@EnableWebSecurity的debug属性值。
Spring Security 笔记
imxlw00的专栏
05-29 1666
Spring Security
SpringSecurity基础(三)通过配置类放行静态界面与过滤器链
weixin_43189971的博客
07-18 1572
1.通过WebSecurityCustomizer 放行界面 1.1放行不需要经过过滤器链Spring Security的静态界面 1.2放行经过 Spring Security 过滤器链,但是不拦截(如果是一个接口想要匿名访问,一般使用这种)。 2.安全过滤器链SecurityFilterChain 类似于shiro的xml配置的过滤器 .........
SpringSecurity - WebSecurityConfigurerAdapter 过时问题
业精于勤荒于嬉
07-02 1万+
WebSecurityConfigurerAdapter 过时问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值