(Web 安全配置适配器) security.config.annotation.web.configuration.WebSecurityConfigurerAdapter

已于 2024-12-02 11:55:16 修改
阅读量2.1k 收藏 16
点赞数 15
分类专栏: spring security 文章标签: 安全 Web 安全配置适配器
于 2024-10-28 16:34:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_65152767/article/details/143306144
版权

文章目录


在这里插入图片描述

WebSecurityConfigurerAdapter 是 Spring Security 中的一个适配器类,专门用于帮助开发者配置 Web 应用的安全设置。它是一个方便的抽象类,允许我们通过继承它并重写其方法,来定制应用的安全行为,比如配置认证和授权规则、处理用户会话管理、跨站请求伪造 (CSRF) 防护等。

在 Spring Security 5.7 版本后,WebSecurityConfigurerAdapter 已被标记为过时,推荐使用新的配置方式。

使用 WebSecurityConfigurerAdapter

开发者可以通过继承 WebSecurityConfigurerAdapter 并重写其配置方法来自定义安全策略:

  • 重写 configure(HttpSecurity http) 方法:用于配置请求的授权规则和安全过滤器链。
  • 重写 configure(AuthenticationManagerBuilder auth) 方法:用于配置认证方式,比如基于内存的用户、数据库认证、LDAP 认证等。

示例

以下是一个 WebSecurityConfigurerAdapter 的简单示例:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 允许公开访问的路径
                .anyRequest().authenticated()         // 其他请求需要认证
            .and()
            .formLogin()                              // 启用表单登录
                .loginPage("/login")                  // 自定义登录页面
                .permitAll()
            .and()
            .logout()                                 // 启用注销
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }
}

Spring Security 5.7 之后的推荐替代方法

在 Spring Security 5.7 及之后,WebSecurityConfigurerAdapter 被弃用,推荐使用 SecurityFilterChainAuthenticationManager 的配置方式:

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
            .and()
            .logout()
                .permitAll();
        
        return http.build();
    }

    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        UserDetails admin = User.withDefaultPasswordEncoder()
            .username("admin")
            .password("admin")
            .roles("ADMIN")
            .build();
        return new InMemoryUserDetailsManager(user, admin);
    }
}

总结

WebSecurityConfigurerAdapter 是用于配置 Spring Security 的一个便利适配器类,虽然已在新版本中被替代,但它在旧版本中是主要的安全配置方式。通过新方法,开发者可以更灵活、模块化地管理 Web 应用的安全配置。

是的,你在 WebSecurityConfig 类中配置了 Spring Security,确保 MyAuthenticationProviderPhoneAuthenticationProvider 被正确注册为认证提供者,并且自定义的认证过滤器也被添加到了过滤器链中。下面是对你的配置文件的详细解释:

WebSecurityConfig.java

package com.productQualification.api.config;

import com.productQualification.api.filter.PhoneNumAuthenticationFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;

import java.util.Arrays;

/**
 * @author William Guo
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationProvider myAuthenticationProvider;

    @Autowired
    private MyAuthenticationFailHandler myAuthenticationFailHandler;

    @Autowired
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    private PhoneAuthenticationProvider phoneAuthenticationProvider;

    @Value("${spring.profiles}")
    private String profiles;

    @Bean
    public PhoneNumAuthenticationFilter phoneNumAuthenticationFilter() throws Exception {
        PhoneNumAuthenticationFilter filter = new PhoneNumAuthenticationFilter();
        filter.setAuthenticationManager(authenticationManagerBean()); // 设置认证管理器
        filter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler); // 设置登录成功处理器
        filter.setAuthenticationFailureHandler(myAuthenticationFailHandler); // 设置登录失败处理器
        filter.setFilterProcessesUrl("/admin/signInByPhone"); // 设置处理的URL
        return filter;
    }

    @Bean
    public UsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter() throws Exception {
        UsernamePasswordAuthenticationFilter filter = new UsernamePasswordAuthenticationFilter();
        filter.setAuthenticationManager(authenticationManagerBean()); // 设置认证管理器
        filter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler); // 设置登录成功处理器
        filter.setAuthenticationFailureHandler(myAuthenticationFailHandler); // 设置登录失败处理器
        filter.setFilterProcessesUrl("/admin/signIn"); // 设置处理的URL
        return filter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 关闭csrf
        http.csrf().disable();

        // 开启cors跨域支持
        http.cors().configurationSource(request -> {
            CorsConfiguration corsConfiguration = new CorsConfiguration().applyPermitDefaultValues();
            corsConfiguration.addAllowedMethod(CorsConfiguration.ALL); // 允许所有方法
            corsConfiguration.setAllowCredentials(true); // 允许携带cookie
            if ("prod".equals(profiles)) {
                corsConfiguration.addAllowedOrigin("https://www.crossbiog.com");
                corsConfiguration.addAllowedOrigin("http://www.crossbiog.com");
                corsConfiguration.addAllowedOrigin("https://crossbiog.com");
                corsConfiguration.addAllowedOrigin("http://crossbiog.com");
                corsConfiguration.addAllowedOrigin("https://kxlist.cn");
                corsConfiguration.addAllowedOrigin("https://www.kxlist.cn");
            }
            return corsConfiguration;
        });

        http.authorizeRequests()
                .anyRequest().permitAll() // 允许所有请求
//                .and().formLogin().loginPage("/admin/signIn").defaultSuccessUrl("/admin/signInSuccess")
//                .failureHandler(myAuthenticationFailHandler)
//                .antMatchers(HttpMethod.GET, "/admin/signIn")
//                .permitAll()
//                .antMatchers(HttpMethod.POST, "/admin")
//                .permitAll()
//                // swagger
//                .antMatchers(HttpMethod.GET, "/v2/api-docs", "/swagger-resources/**", "/webjars/**", "/swagger-ui.html")
//                .permitAll()
//                .anyRequest()
//                .authenticated()
//                .and()
//                .sessionManagement()
//                .and()
//                .httpBasic();
        ;

        // 把账户密码验证过滤器加到拦截器链中
        http.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
                .authenticationProvider(myAuthenticationProvider); // 注册账户密码验证提供者

        // 把手机号认证过滤器加到拦截器链中
        http.addFilterAfter(phoneNumAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
                .authenticationProvider(phoneAuthenticationProvider); // 注册手机号验证提供者
    }

    @Override
    protected AuthenticationManager authenticationManager() {
        ProviderManager authenticationManager = new ProviderManager(Arrays.asList(phoneAuthenticationProvider));
        // 不擦除认证密码,擦除会导致TokenBasedRememberMeServices因为找不到Credentials再调用UserDetailsService而抛出UsernameNotFoundException
        authenticationManager.setEraseCredentialsAfterAuthentication(false);
        return authenticationManager;
    }
}

解释

  1. 注解

    • @Configuration:标记该类为配置类。
    • @EnableWebSecurity:启用 Spring Security 的 Web 安全支持。
    • @EnableGlobalMethodSecurity(prePostEnabled = true):启用全局方法安全,支持 @PreAuthorize@PostAuthorize 注解。

  2. 注入依赖

    • @Autowired:注入 MyAuthenticationProviderMyAuthenticationFailHandlerMyAuthenticationSuccessHandlerPhoneAuthenticationProvider

  3. 配置 CORS

    • http.cors().configurationSource(...):配置 CORS 支持,允许特定的域名访问。

  4. 关闭 CSRF

    • http.csrf().disable():关闭 CSRF 保护,适用于不需要 CSRF 保护的场景。

  5. 配置 HTTP 安全

    • http.authorizeRequests().anyRequest().permitAll():允许所有请求,可以根据需要进行更细粒度的权限控制。
    • http.addFilterAt(...):将 UsernamePasswordAuthenticationFilter 添加到过滤器链中,并注册 MyAuthenticationProvider
    • http.addFilterAfter(...):将 PhoneNumAuthenticationFilter 添加到过滤器链中,并注册 PhoneAuthenticationProvider

  6. 配置认证管理器

    • authenticationManager():重写 authenticationManager 方法,创建一个 ProviderManager 并注册 PhoneAuthenticationProvider。设置 setEraseCredentialsAfterAuthentication(false) 以防止擦除认证密码。

总结

通过上述配置,Spring Security 会在用户尝试登录时调用 MyAuthenticationProviderPhoneAuthenticationProvider 进行认证。确保你的 WebSecurityConfig 类正确配置了认证提供者和自定义的认证过滤器,这样在用户登录时,程序一定会经过这些类。

希望这些解释能帮助你更好地理解和配置 Spring Security。

博客
HTTP 请求的数据之旅:揭秘信息传递的四大高速公路!!!
04-18 706
途径位置/机制主要用途常见关联方法适合敏感数据?数据量限制URL 路径(路径参数)URL Path资源标识符所有方法❌ (可见)中 (URL 限制)查询字符串URL (?之后)参数化/过滤/分页GET (主要)❌ (可见)中 (URL 限制)请求头Headers 部分元数据, 认证, 控制, 上下文所有方法🤔 (取决于头)小请求体Body 部分承载主要提交数据✅ (需 HTTPS)大URL 路径定义了你要去哪里。查询字符串提供了关于目的地的额外筛选条件。
博客
Spring Boot实战教程:动态为Controller注入“智能”用户ID!!!
05-15 385
本教程介绍了如何在Spring Boot应用中通过自定义HandlerMethodArgumentResolver动态注入“智能”用户ID,以简化Controller方法中的用户ID处理逻辑。首先,通过自定义注解@EffectiveAdminId标记需要特殊处理的参数,接着实现EffectiveAdminIdArgumentResolver类,利用现有业务服务进行用户ID的智能转换。最后,通过WebMvcConfigurer将自定义解析器注册到Spring Boot应用中。
博客
【实战秘籍】无需修改Service层!自定义参数解析器玩转多租户/协作权限!!!
05-15 553
本文介绍了如何在Spring MVC中利用自定义的HandlerMethodArgumentResolver参数解析器,优雅地处理多租户或用户协作权限问题,而无需修改Service层代码。通过定义@EffectiveAdminId注解、实现EffectiveAdminIdArgumentResolver解析器,并在配置中注册,可以在Controller层自动将原始用户ID转换为有效的上下文ID,从而简化Controller代码并保持Service层的稳定性。
博客
深入解析 JavaScript 中的 handleNumber 方法:千位分隔与格式化!!!
05-15 515
handleNumber 是一个用于将数字格式化为带千位分隔符字符串的 JavaScript 方法。它通过正则表达式实现,适用于前端展示金额、库存等数据。然而,该方法存在一些局限性,如未处理 undefined、null 或非数字输入,不支持小数,且零值返回 0 而非用户友好的格式。优化方案包括改进异常处理、零值显示,并支持小数部分。优化后的方法能更好地适应实际需求,提升用户体验。
博客
揭秘Java中char与ASCII的字节之谜!!!
05-15 713
本文深入探讨了Java中char类型与ASCII编码的字节特性及其关系。Java的char类型固定占用2个字节,支持Unicode编码,能够覆盖全球字符;而ASCII编码仅占用1个字节,主要用于英文字符处理。文章通过对比表、流程图、时序图和思维导图,详细解析了它们的工作机制和转换过程,并解答了常见问题。理解这些差异有助于在开发中更合理地选择数据类型和编码方式,提升代码效率。
博客
解锁 Mermaid 流程图语法奥秘——用字母/数字作为节点标识符,中文作为标签!!!
05-15 559
在技术博客中,作者详细探讨了使用 Mermaid 绘制流程图时遇到的一个常见问题:直接使用中文标签会导致解析错误。通过分析,作者发现 Mermaid 要求节点标识符必须为字母、数字或下划线,而中文不符合这一要求。为了解决这一问题,作者提出了使用字母或数字作为节点标识符,并通过 ["中文标签"] 的形式指定显示名称的解决方案。博客中通过表格、流程图、时序图和思维导图等多种形式,展示了原始格式与修改后格式的区别,并提供了具体的代码示例和运行环境信息。
博客
全角字符 vs 半角字符:一场关于“空间”的技术较量!!!
05-15 349
全角字符和半角字符在文本处理中扮演着不同的角色,它们的主要区别在于字符宽度、存储空间和适用场景。全角字符通常占用两个字节,显示为宽字符,适合中文排版和视觉对称的场景;而半角字符仅占一个字节,显示为窄字符,适用于英文输入、编程和数据处理。通过流程图和时序图,本文直观地展示了字符类型判断、切换和显示的过程。理解这两种字符的区别,可以帮助用户在文本处理、编程和排版中做出更合适的选择,提升效率和体验。
博客
MacBook Pro电池检测脚本优化全解析!!!
05-15 371
本文介绍了如何通过 Python 脚本优化 MacBook Pro 电池信息检测的过程。脚本通过 ioreg 命令获取电池数据,并解决了 StateOfCharge 缺失和 JSON 序列化错误等问题。优化后的脚本能够准确提取电池的当前容量、最大容量、电量百分比、温度、电压、循环次数等关键信息,并通过自定义的 BytesEncoder 处理 bytes 数据,确保 JSON 序列化成功。文章还提供了流程图和时序图,帮助读者理解脚本的执行逻辑和数据流转过程。
博客
深入Spring MVC之Nether:自定义HandlerMethodArgumentResolver简化用户上下文处理!!!
05-14 699
在Spring MVC开发中,处理用户上下文时经常需要获取当前登录用户的ID,并结合业务场景确定有效操作上下文ID。在productQualification项目中,协作者操作时需要映射到邀请其的VIP用户上下文,导致Controller代码重复且臃肿。为解决这一问题,本文介绍了如何通过自定义HandlerMethodArgumentResolver简化用户上下文处理。
博客
✨ 优雅解决Spring MVC协作者权限难题:自定义参数解析器实战 ✨
05-14 690
文章摘要:本文介绍了如何通过Spring MVC的自定义参数解析器(HandlerMethodArgumentResolver)优雅地解决多用户协作系统中的协作者权限管理问题。通过定义自定义注解 @EffectiveAdminId 和实现核心解析器 EffectiveAdminIdArgumentResolver,系统能够自动将协作者的操作ID转换为对应的VIP用户ID,从而避免在Controller层编写冗余代码,同时减少对Service层的侵入。
博客
Markdown 表格中转义竖线:使用反斜杠的最佳实践!!!
05-13 353
在 Markdown 表格中显示竖线(|)时,必须使用反斜杠(\)进行转义,写作 \|,以避免解析器将其误认为表格分隔符。本文详细探讨了转义的必要性、正确操作方法及其兼容性,并通过表格、Mermaid 流程图、时序图和思维导图等多种形式,帮助读者全面掌握这一技巧。反斜杠转义是符合 CommonMark 规范的标准做法,适用于 GitHub、GitLab 等主流平台,确保表格结构清晰且竖线正确显示。掌握这一技巧,能够提升 Markdown 文档的专业性和可读性。
博客
OpenSSL 验证 SSL 证书有效期:快速指南!!!
05-13 717
本文详细介绍了如何使用 OpenSSL 命令验证 SSL 证书的有效期,特别是针对 api.drop-shipping.kuaixiaoqingdan.com 的证书。通过拆解命令的各个部分,解释了每个参数的作用,如 echo、openssl s_client、-connect 和 -dates 等。文章还通过 Mermaid 流程图和时序图展示了命令的执行过程,帮助读者直观理解客户端与服务器的交互。此外,文章提供了实践案例,指导如何验证新证书是否生效,并总结了命令的适用场景和注意事项。
博客
Java Stream API 神器探秘:groupingBy 如何优雅搞定数据分组与聚合 (源码视角)!!!
05-13 625
Java 8 引入的 Stream API 中的 Collectors.groupingBy() 方法为开发者提供了一种优雅且高效的方式来处理数据分组与聚合。本文通过一个具体的业务场景——处理“寄售总表”数据并按订单号分组生成“付款记录”——深入探讨了 groupingBy 的使用及其源码实现。文章首先介绍了 groupingBy 的基本功能和常见重载版本,随后通过源码分析揭示了其返回 Map 的必然性。
博客
溯源追根 :揭秘JPA实体库存量背后的“功臣”——动态获取库存来源列表!!!
05-13 533
本文探讨了如何通过JPA和Spring Data JPA实现一个功能,即从ConsignmentDetail实体中动态获取其库存来源的ConsignmentSummary记录列表。业务需求从简单的总库存量查询升级为需要了解构成总库存的具体来源记录。核心策略包括:首先通过唯一标识定位ConsignmentDetail,然后提取关键关联字段,最后查询符合条件的ConsignmentSummary记录并返回。
博客
JPA 实体“超级变变变”:动态聚合填充瞬态字段,让数据展示更丰富!
05-12 805
在企业级应用中,动态计算并填充瞬态字段是常见的需求,尤其是在需要展示聚合数据时。本文以“寄售库存结算”(ConsignmentSettlement)实体为例,探讨了如何通过JPA的@Transient注解、自定义Repository查询以及Service层逻辑,动态计算并填充四个瞬态字段:currentStockCount、currentStockAmount、totalReceivedAmount和currentReceivableAmount。
博客
✨ JPA实体“瘦身”与Service层“赋能”:动态计算并填充非持久化库存字段!!!
05-12 855
本文探讨了在JPA实体中处理动态计算字段的优雅方法,特别是通过@javax.persistence.Transient注解将字段标记为非持久化,并在Service层动态计算并填充。以“寄售库存详情”实体中的stock字段为例,展示了如何从关联表中聚合数据并实时计算库存值。文章详细解释了@Transient注解的作用及其与其他类似注解的区别,并提供了从Repository查询到Service层填充的实现步骤。
博客
深入解析 MacBook 电池的 CycleCount 技术博客!!!
05-12 740
本期技术博客深入探讨了 MacBook 电池的 CycleCount(循环次数) 技术,旨在帮助用户更好地管理和理解电池健康。文章通过表格总结了电池相关数据,包括设计容量、当前容量、电压和温度等,并以 CycleCount = 44 为例,解释了循环次数的计算方式及其对电池寿命的影响。通过 Mermaid 流程图和时序图,详细展示了如何通过 ioreg 命令查询 CycleCount 的过程。此外,文章还提供了优化电池使用的建议,如减少不必要充电、启用优化电池充电功能以及保持电量在 20%-80% 之间。
博客
MacBook电池信息解析:ioreg命令全攻略!!!
05-12 841
本期技术博客详细介绍了如何使用 ioreg 命令获取 MacBook Pro M4 的电池信息。通过终端输入命令,系统返回电池的设计容量、当前容量、电压、循环次数等关键数据。文章通过表格总结了电池信息,使用 Mermaid 流程图展示了操作步骤,并通过时序图解析了数据处理流程。此外,文章还提供了电池健康分析及优化建议,如启用“优化电池充电”功能,并定期检查电池状态。通过 ioreg 命令,用户可以深入了解设备电池的健康状况,确保其使用寿命和性能。
博客
前后端“联姻”小插曲:@JsonProperty 如何搞定JSON字段名与Java属性名的“跨服聊天”!!!
05-10 681
在前后端分离开发中,JSON作为数据交互的通用格式,常常遇到前端发送的JSON字段名与后端Java对象属性名不一致的问题,导致数据绑定失败。本文通过一个实际案例,展示了如何使用Jackson库中的@JsonProperty注解解决这一问题。前端发送的JSON使用"id"作为主键名,而后端DTO期望的是summaryId,导致参数校验失败。通过在DTO的summaryId属性上添加@JsonProperty("id")注解,显式指定JSON字段名与Java属性名的映射关系,成功解决了数据绑定问题。
博客
AI 模型运行参数详解:Temperature 和 Top P 在 Gemini 2.5 Pro 中的应用!!!
05-10 976
在 AI 模型如 Gemini 2.5 Pro 中,Temperature(温度) 和 Top P(核采样概率) 是两个关键参数,用于控制生成文本的随机性和多样性。Temperature 调整概率分布的平滑度,低值(如 0.5)使输出更确定,高值(如 1.5)增加随机性。Top P 限制生成时考虑的词集合,低值(如 0.3)使输出保守,高值(如 0.95)允许多样性。两者结合使用可优化生成效果,适合不同任务需求。理解并合理调整这两个参数,可以显著提升 AI 模型的生成质量。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值