spring security的webSecurityConfig内配置多个configure是什么原因

最新推荐文章于 2025-04-06 21:27:49 发布
最新推荐文章于 2025-04-06 21:27:49 发布
阅读量478 收藏 8
点赞数 8
分类专栏: spring后端 文章标签: spring chrome java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LCY133/article/details/146904904
版权

在 Spring Security 的配置类中,存在多个 configure 方法的重写,因为它们分别处理不同维度的安全配置。具体到这段代码中,覆盖了三个不同的 configure 方法,每个方法负责不同层次的安全配置:

1. configure(AuthenticationManagerBuilder auth)

作用:配置认证(Authentication)的核心组件
关键配置

override fun configure(auth: AuthenticationManagerBuilder) {
    // 设置用户详情服务及密码编码器
    auth.userDetailsService(profileDetailsService).passwordEncoder(encoder())
    // 注册自定义认证提供者
    auth.authenticationProvider(onlyUserIdAuthenticationProvider)
    auth.authenticationProvider(accessKeyAuthenticationProvider)
}

解释
• 定义了用户数据的来源(profileDetailsService)和密码加密方式(BCryptPasswordEncoder
• 添加了两个自定义的认证提供者:
onlyUserIdAuthenticationProvider: 可能用于仅用户名的认证(如短信验证码登录)
accessKeyAuthenticationProvider: 可能用于密钥认证(如 API 访问密钥)

2. configure(HttpSecurity httpSecurity)

作用:配置 HTTP 请求级安全规则
关键配置

override fun configure(httpSecurity: HttpSecurity) {
    httpSecurity
        .csrf().disable() // 禁用 CSRF
        .exceptionHandling() // 异常处理
            .authenticationEntryPoint { ... } // 未认证时的响应
        .and()
        .sessionManagement() // 会话管理
            .sessionCreationPolicy(SessionCreationPolicy.ALWAYS) // 总是创建会话
        .and()
        .authorizeRequests() // 定义访问控制
            .antMatchers("/login", "/oauth/login", ...).permitAll() // 开放端点
            .anyRequest().authenticated() // 其他请求需认证
        .and()
        .formLogin() // 表单登录配置
            .loginPage("/login")
            .loginProcessingUrl("/login")
            .successHandler(loginSuccessHandler)
            .failureHandler { ... }
        .logout() // 注销配置
            .logoutUrl("/logout")
            .logoutSuccessHandler { ... }
        .addFilterAt( // 插入自定义过滤器
            onlyUserIdAuthenticationFilter(), 
            UsernamePasswordAuthenticationFilter::class.java
        )
}

解释
CSRF 防护:禁用(常见于 API 服务)
会话管理:强制创建会话(适合传统 Web 应用)
访问控制
• 开放 /login/oauth/login 等端点的匿名访问
• 其他请求需认证
表单登录
• 指定登录页和登录处理端点
• 自定义认证成功/失败处理器
自定义过滤器:将 OnlyUserIdAuthenticationFilter 插入到过滤器链中

3. configure(WebSecurity web)

作用:配置全局 Web 安全(静态资源忽略)
关键配置

override fun configure(web: WebSecurity) {
    web.debug(debug) // 启用/禁用调试模式
    web.ignoring().antMatchers("/webjars/**") // 忽略静态资源
}

解释
/webjars/** 路径的请求将完全绕过安全过滤器链
• 调试模式用于查看安全过滤器链的详细信息

为什么需要多个 configure 方法?

Spring Security 采用分层设计,不同配置方法处理不同维度的安全需求:

方法参数配置层级典型用途
AuthenticationManagerBuilder认证机制层用户数据源、密码编码器、认证提供者
HttpSecurityHTTP 请求层URL 权限控制、登录/注销行为、CSRF 等
WebSecurity全局 Web 层静态资源忽略、调试模式

代码中其他关键组件

  1. 密码编码器

    @Bean
fun encoder(): PasswordEncoder = BCryptPasswordEncoder()

    • 使用 BCrypt 强哈希算法加密密码

  2. 自定义过滤器
    OnlyUserIdAuthenticationFilter: 处理 /oauth/login 的认证请求
    AccessKeyAuthenticationFilter: 处理 /access_secret/login 的密钥认证

  3. 审计功能

    @Bean
fun jpaAuditorProvider(): AuditorAware<String> = SpringSecurityAuditorAwareForJpa()

    • 用于 JPA 审计(自动填充 createdBylastModifiedBy 等字段)

架构示意图

               ┌───────────────────────────────┐
               │      WebSecurityConfig        │
               ├───────────────────────────────┤
               │ - configure(WebSecurity)      │ → 全局资源忽略
               │ - configure(HttpSecurity)      │ → HTTP 安全规则
               │ - configure(Authentication...) │ → 认证机制配置
               └───────────────────────────────┘
                            ↓
               ┌───────────────────────────────┐
               │  Spring Security Filter Chain  │
               └───────────────────────────────┘
                            ↓
               ┌───────────────────────────────┐
               │       Authentication           │ → 用户认证流程
               └───────────────────────────────┘

通过这种分层配置,可以清晰地管理不同维度的安全策略,确保认证、授权、资源控制等功能的灵活性和可维护性。

详解springSecurityjava配置
08-18
Spring SecurityJava 配置Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 JavaWeb 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
01_Spring Security基本使用和配置.rar
10-07
综上所述,Spring Security是一个功能丰富的安全框架,其基本使用和配置涉及到认证、授权、配置多个环节。通过阅读提供的文档和实践,可以深入了解并熟练掌握Spring Security在实际项目中的应用。
s2sh+springSecurity的注解配置例子
04-06
标题 "s2sh+springSecurity的注解配置例子" 提供了一个关于整合Spring Security与Struts 2(S2)和Hibernate(SH)框架的注解配置实践的线索。这通常涉及到在Java web应用程序中创建一个安全的环境,通过利用Spring ...
spring security3配置和使用
08-04
为了更好地理解和应用 Spring Security3,项目提供了多个范例程序,这些示例涵盖了从基础到高级的各种用例。以下是一些典型的应用场景: 1. **基本认证**:实现一个简单的用户名/密码认证流程。 2. **表单登录**:...
Spring security 官网说明文档(英文版)
10-28
Spring Security 分为多个模块,每个模块提供特定的功能: - **Core (spring-security-core.jar)**: 提供核心安全框架,包括认证和授权机制。 - **Remoting (spring-security-remoting.jar)**: 支持远程调用的安全性...
Springboot切换到3.3.4后,使用spring security一些小问题记录
lwprain的专栏
04-05 220
经过一番折腾,大部分问题都解决了,以后有时间也可以到时候再写文细说,本文章主要是为了描述SpringBoot的一些基本使用问题,因为目前的经验及水平限制,这两天也弄不清楚到底是什么引起的,先把问题先记录下来,同时也找了算是一些解决方案的内容,供后面遇到类似问题的同学做一些启发。一番下来,发现如果仅仅是用chat接口来实现,还是挺简单的,不过要是用Stream模式的话,一般来讲还用Vue之类的框架,效果可能会更好些,所以干脆向着再弄一个新版的基于Spring Security的脚手架出来。
springBoot统一响应类型3.5.1版本
c_yanxin_ru的博客
04-02 335
通过实践而发现真理,又通过实践而证实真理和发展真理。从感性认识而能动地发展到理性认识,又从理性认识而能动地指导革命实践,改造主观世界和客观世界。实践、认识、再实践、再认识,这种形式,循环往复以至无穷,而实践和认识之每一循环的内容,都比较地进到了高一级的程度。
Spring Data JPA中的List底层:深入解析ArrayList的奥秘!!!
小丁的博客
04-06 527
Spring Data JPA底层采用Hibernate作为JPA实现。当执行查询时,Hibernate会将数据库结果集转换为Java对象,并存储在内存连续存储的动态数组中,这是ArrayList的典型特征。fill:#333;color:#333;color:#333;fill:none;Hibernate执行查询获取JDBC结果集逐行映射为Entity对象填充到ArrayList返回给调用方。
基于springboot协同过滤算法的农产品销售推荐系统(源码+lw+部署文档+讲解),源码可白嫖!
最新发布
weixin_47179923的博客
04-06 537
之后对不同分组的用户进行分析,通过推荐算法预测出该用户的感兴趣的物品。基于用户的推荐算法是最早被提出的推荐算法,始于1991年,主要思路为在大量的用户相关数据中研究出用户对物品的偏好程度,之后通过推荐算法的算法推算出相似度较高的用户,然后将其相似用户所喜爱的物品通过推荐算法推荐给其他用户。然而,对于当下的基于协同过滤的推荐算法来说,该推荐方法仍然存在一些弊端致使推荐的效率较低,如稀疏性问题和扩展性问题,另外,对于新用户,由于这些用户缺少历史数据,往往会出现推荐不精准的问题,该问题称为新用户的冷启动问题。
SpringBoot古典舞在线交流平台设计与实现
幽络源
04-03 752
本文详细介绍基于SpringBoot的古典舞在线交流平台设计与实现,涵盖用户与管理员功能模块。
SpringBoot 启动过程解析
m0_59252838的博客
04-02 804
启动入口main()方法调用。初始化过程:加载配置,创建。自动配置:根据项目依赖自动配置组件。Bean 初始化:加载 Bean,完成依赖注入。Web 应用启动:启动嵌入式 Web 服务器,监听 HTTP 请求。事件监听:监听应用启动过程中的各种事件。应用运行:处理 HTTP 请求,执行应用逻辑。优雅关机:应用接收到关闭信号时进行平稳退出。通过理解这些步骤,我们不仅能够更好地掌握 Spring Boot 的启动过程,还可以更高效地调试和优化我们的应用程序。
springboot-ai接入DeepSeek
liu1251303815的博客
04-06 223
springboot-ai 练手
Mybatis 如何自定义缓存?
专注于技术分享
04-02 997
接口来自定义二级缓存,我们可以集成各种第三方缓存(如 Redis, Ehcache, Memcached 等)或实现自己特定的缓存逻辑。如果自定义缓存需要一些配置参数(比如 Redis 的主机、端口、密码等),你可以在。根据选择的缓存技术(或自定义逻辑)来实现上述接口的所有方法。在需要使用自定义缓存的 Mapper XML 文件中,使用。接口本身没有直接定义接收这些属性的方法。接口,并在 Mapper XML 中通过。自定义 MyBatis 缓存的核心是实现。属性指定你的自定义缓存类的。
54.大学生心理健康管理系统(基于springboot项目)
qq_24907431的博客
04-04 915
 1 在校学习的学生,可用于日常学习使用或是毕业设计使用      2 毕业一到两年的开发人员,用于锻炼自己的独立功能模块设计能力,增强代码编写能力。      3 亦可以部署为商化项目使用。      4 需要完整资料及源码,请在文末获取联系方式领取。
springBoot统一响应类型3.5.3版本
c_yanxin_ru的博客
04-02 203
通过实践而发现真理,又通过实践而证实真理和发展真理。从感性认识而能动地发展到理性认识,又从理性认识而能动地指导革命实践,改造主观世界和客观世界。实践、认识、再实践、再认识,这种形式,循环往复以至无穷,而实践和认识之每一循环的内容,都比较地进到了高一级的程度。简单回顾:全阶段第一阶段:统一响应的简单应用第二阶段:统一响应的起源第三阶段:统一响应实体的起源第四阶段:统一响应实体的面向对象优化第五阶段:全局异常响应。
SpringBoot底层-数据源自动配置
m0_63451467的博客
04-05 143
研究SpringBoot切换数据源的自动装配类原理
spring security 过滤器链使用
LCY133的博客
04-05 297
通过灵活组合这些配置,开发者可以快速实现从简单登录到复杂分布式系统的安全需求,同时保持代码的可维护性和扩展性。Spring Security 的过滤器链提供了灵活的安全控制机制,以下是其在实际开发中的。:无状态 API 服务(如使用 JWT):解析请求头中的 JWT Token。
SpringBoot中application.yml--不同版本的Mysql,不同的url
A2715045459的博客
04-02 439
不同版本的 MySQL 驱动与数据库版本之间存在兼容性问题。例如,使用 MySQL 8.x 的驱动连接 MySQL 5.x 数据库可能会报错,反之亦然。所以要根据实际使用的 MySQL 数据库版本选择合适的驱动版本和配置哦~这些参数的添加主要是为了解决 MySQL 8.x 中引入的一些新特性,例如默认启用 SSL 连接以及对时区的严格要求。这是 MySQL 8.x 的官方推荐驱动类,它提供了更好的性能和对新特性的支持。:MySQL 8.x 对时区的处理更加严格,需要明确指定时区,例如。
基于javawebSpringBoot汉服文化bbs系统设计与实现(源码+文档+部署讲解)
qiuyeyyy的博客
04-05 981
技术范围:SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等设计与开发。主要内容:免费功能设计、开题报告、任务书、中期检查PPT、系统功能实现、代码编写、论文编写和辅导、论文降重、长期答辩答疑辅导、腾讯会议一对一专业讲解辅导答辩、模拟答辩演练、和理解代码逻辑思路。🍅文末获取源码联系🍅🍅文末获取源码联系🍅🍅文末获取源码联系🍅👇🏻 精彩专栏推荐订阅👇🏻 不然下次找不到哟。
掌握Spring Security中的角色与权限配置
角色可以包含一个或多个权限,从而对用户实现较为宽泛的访问控制。 #### 在Spring Security中定义角色和权限 在Spring Security中定义角色和权限通常涉及到配置安全规则,这可以通过Java配置或XML配置来实现。下面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值