Spring Security6 升级高版本解决方案

已于 2024-11-09 10:19:07 修改
阅读量452 收藏 3
点赞数 5
文章标签: spring java 后端 spring boot mybatis 服务器
于 2024-11-06 12:41:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_27516161/article/details/143566870
版权

目录

废弃WebSecurityConfigurerAdapter

spring security中WebSecurityConfigurerAdapter弃用配置AuthenticationManagerBuilder

Spring Security6配置方法

参考代码

部分pom.xml配置

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>3.3.4</version>
</parent>

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-security</artifactId>
	</dependency>
</dependencies>

SecurityConfig.java

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@Slf4j
public class SecurityConfig {
    @Resource
    private SecurityFilter securityFilter;
    @Resource
    private UserMapper userMapper;
    @Resource
    private JwtFilter jwtFilter;


    @Bean
    public UserDetailsService userDetailsService() {
        return username -> {
            log.info("从数据库中拿 {} 用户信息", username);
            LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<User>().eq(User::getUsername, username);
            User user = userMapper.selectOne(queryWrapper);
            if (user == null) {
                throw new UsernameNotFoundException(username);
            }
            return new CustomDetailsUser(user);
        };
    }

    @Bean
    AuthenticationManager authenticationManager() {
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        daoAuthenticationProvider.setUserDetailsService(userDetailsService());
        daoAuthenticationProvider.setPasswordEncoder(new BCryptPasswordEncoder(10));
        return new ProviderManager(daoAuthenticationProvider);
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                // 关闭csrf
                .csrf(AbstractHttpConfigurer::disable)
                // 不通过session获取SecurityContext
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(auth -> {
                    // 允许登录接口匿名访问
                    auth.requestMatchers("/user/login").anonymous()
                            // 允许接口文档匿名访问
                            .requestMatchers("/v3/api-docs/**").anonymous()
                            .requestMatchers("/doc.html/**").anonymous()
                            .requestMatchers("/swagger-ui/**").anonymous()
                            .requestMatchers("/webjars/**").anonymous()
                            // 除上述之外的全部请求都需要鉴权认证
                            .anyRequest().authenticated();
                })
                // 配置跨域
                .cors(corsConfiguration -> corsConfiguration.configurationSource(corsConfiguration()));


        // 增加过滤器
        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
        http.addFilterBefore(securityFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }


    /**
     * Cors 的配置信息 配置+路径
     */
    CorsConfigurationSource corsConfiguration() {
        // Cors配置类
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 是否返回时生成凭证
        corsConfiguration.setAllowCredentials(false);
        // 允许请求携带哪些请求头信息
        corsConfiguration.setAllowedHeaders(List.of("*"));
        // 允许哪些类型的请求方法
        corsConfiguration.setAllowedMethods(List.of("*"));
        // 允许哪些域可以进行方法
        corsConfiguration.setAllowedOrigins(List.of("*"));
        // 设置预检的最大的时长
        corsConfiguration.setMaxAge(3600L);
        // 设置返回暴露的响应头信息
        corsConfiguration.setExposedHeaders(Collections.emptyList());

        // 设置注册URL 配置类
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);

        return source;
    }

}
祸梦
关注
Spring Security 升级:配置迁移
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-17 288
在现代应用程序开发中,安全性是至关重要的。为了适应不断变化的威胁和安全标准,保持您的Spring Security配置是必要的。本文将深入探讨Spring Security升级,并特别聚焦于配置迁移的关键步骤。您将了解如何将旧版的安全配置迁移到新版本,确保您的应用程序在升级后仍然是坚不可摧的。我们将为您提供实际的示例和最佳实践,以使配置迁移过程变得无缝而高效。让我们一起开始这个升级之旅,以保护您的应用程序和数据不受威胁。
升级Spring Security版本
pany_2017的博客
08-29 4015
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
认证鉴权框架SpringSecurity-6--6.x版本升级
最新发布
weisian的博客
11-15 1194
1、6.X的配置类不在继承WebSecurityConfigurerAdapter抽象类2、HttpSecurity配置后,需要调用.build方法生成过滤器链返回,注入到容器中。3、自定义的UserDetailService不需要AuthenticationManagerBuilder指定,直接注入spring容器就行。4、自定义AuthenticationProvider认证方式,通过HttpSecurity配置,添加到过滤器链中。
Spring Security升级到5.7.x
qq_47993287的博客
07-21 7113
升级Spring Security到5.7.x之后需要做的事情
SpringSecurity升级
蓝影铁哥的博客
01-08 1899
SpringSecurity
SpringMVC4+Spring Security3
02-05
开发环境:MyEclipse 10 + Tomcat 7 + JDK 7 + MySQL 5.6 框架搭建:Spring 4 + SpringMVC 4 + Hibernate 4 静态页面模板:Ace 1.4 数据库文件:SunFlower/target/maven-site/update-sql/sunflower-init.sql
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 811
网络安全入门笔记(共327页),助你步入安全门槛
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 2348
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级boot版本2.1.7升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring Security OAuth过期的解决方法
09-07
由于Spring Security 5.x不再支持授权服务器功能,你可能需要寻找第三方授权服务器解决方案,如Keycloak或OAuth2 Server。这些服务器专门设计用于处理授权,更适合用作生产环境中的解决方案7. **更新文档和教程...
Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证与授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
Spring Cloud升级最新Finchley版本的所有坑
08-27
以下是升级过程中可能遇到的问题和解决方案。 Eureka Server 依赖更新 在升级到 Finchley 版本时,Eureka Server 的依赖需要更新。升级前,依赖的是 `spring-cloud-starter-eureka-server`,升级后需要依赖 `...
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2730
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
Spring Security6版本变化内容
程序员一博
08-05 4736
Spring Security已经更新到了6.x,通过本专栏记录以下Spring Security6学习过程,当然大家可参考Spring Security5专栏对比学习Spring Securityspring家族产品中的一个安全框架,核心功能包括用户认证(Authentication)和用户授权(Authorization)两部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
springboot3探索日记(3)——Security6配置
qq_42533633的博客
12-19 826
Security6相比Security5及之前的版本,在配置上做出了断层式的改变。和之前继承WebSecurityConfigurerAdapter相比,现在种种配置都是以bean的形式呈现的。
快速学习springsecurity最新版 (版本6.2)---用户认证
qq_55272229的博客
02-21 4060
​是 Spring 家族中的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 9633
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security.升级了版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
Spring Boot 3.1.4 和 Spring Security 升级:提升应用程序安全性与性能
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
10-18 581
升级Spring BootSpring Security是每个现代应用程序维护者都应该关注的重要任务。这不仅涉及到解决已知的安全漏洞,还包括性能优化、引入新功能和确保应用程序始终保持竞争力。本文将深入探讨升级Spring BootSpring Security的关键步骤,以及如何充分利用这些升级,提高应用程序的安全性和性能。从版本兼容性到配置迁移,我们将为您提供详细的指南,以确保升级过程顺利进行。让我们一起探索如何将您的应用程序带入新的高度!
Spring BootSpring Security升级、版本选择、安全漏洞说明
热门推荐
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据三:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
升级Spring Security 4.2的坑及解决办法
甘焕的博客
05-12 9552
把框架从Spring Security从3升级到4,结果出现了一大堆错误,每一个都是巨坑,几个非常熟悉的问题,花了我几乎一整天的时间,下面一一说来。1. 验证始终无法通过输入正确的用户名与密码,却始终收到这样的异常:org.springframework.security.authentication.BadCredentialsException: Bad credentials at o
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值