Spring Security Config : 注解 EnableWebSecurity 启用Web安全

Spring Security的@EnableWebSecurity注解详解
最新推荐文章于 2025-11-01 14:13:54 发布
转载 最新推荐文章于 2025-11-01 14:13:54 发布 · 7k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://andyboke.blog.youkuaiyun.com/article/details/90023901

本文详细介绍了Spring Security的@EnableWebSecurity注解的用途和工作原理。它用于启用Web安全配置,通常与WebSecurityConfigurerAdapter配合使用,管理过滤器链,并配置全局认证机制。在Spring Boot应用中,该注解由Spring Boot自动配置。文章还讨论了多个WebSecurityConfigurerAdapter的使用情况以及Spring Security的调试模式设置。

@EnableWebSecurity 是 Spring Security 用于启用Web安全的注解。典型的用法是该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。

典型的使用例子如下 :

 @Configuration
 @EnableWebSecurity
 public class MyWebSecurityConfiguration extends WebSecurityConfigurerAdapter {

        @Override
        public void configure(WebSecurity web) throws Exception {
                web.ignoring()
                // Spring Security should completely ignore URLs starting with /resources/
                                .antMatchers("/resources/**");
        }

        @Override
        protected void configure(HttpSecurity http) throws Exception {
                http.authorizeRequests().antMatchers("/public/**").permitAll().anyRequest()
                                .hasRole("USER").and()
                                // Possibly more configuration ...
                                .formLogin() // enable form based log in
                                // set permitAll for all URLs associated with Form Login
                                .permitAll();
        }

        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
                auth
                // enable in memory based authentication with a user named "user" and "admin"
                .inMemoryAuthentication().withUser("user").password("password").roles("USER")
                                .and().withUser("admin").password("password").roles("USER", "ADMIN");
        }

        // Possibly more overridden methods ...
 }

该注解其实起到了如下效果 :

  1. 控制Spring Security是否使用调试模式(通过注解属性debug指定),缺省为false,表示缺省不使用调试模式
  2. 导入 WebSecurityConfiguration,用于配置Web安全过滤器FilterChainProxy
  3. 若干个WebSecurityConfigurerAdapter作用于一个WebSecurity生成一个最终使用的web安全过滤器FilterChainProxy
  4. 如果是Servlet 环境,导入WebMvcSecurityConfiguration
  5. 如果是OAuth2环境,导入OAuth2ClientConfiguration
  6. 使用注解@EnableGlobalAuthentication启用全局认证机制

    Spring Security依赖于全局认证机制,所以这里启用全局认证机制是很自然的事。
    注解@EnableGlobalAuthentication又导入了AuthenticationConfiguration用于全局认证机制配置;
    AuthenticationConfiguration主要目的用于配置认证管理器组件AuthenticationManager
    AuthenticationManager会在运行时用于认证请求者身份。

在非SpringbootSpring Web MVC应用中,该注解@EnableWebSecurity需要开发人员自己引入以启用Web安全。

而在基于SpringbootSpring Web MVC应用中,开发人员没有必要再次引用该注解,Springboot的自动配置机制WebSecurityEnablerConfiguration已经引入了该注解,

如下所示:


package org.springframework.boot.autoconfigure.security.servlet;

// 省略 imports 行
@Configuration
// 仅在存在 WebSecurityConfigurerAdapter bean 时该注解才有可能生效
// (最终生效与否要结合其他条件综合考虑)
@ConditionalOnBean(WebSecurityConfigurerAdapter.class)
// 仅在不存在 springSecurityFilterChain 时该注解才有可能生效
// (最终生效与否要结合其他条件综合考虑)
@ConditionalOnMissingBean(name = BeanIds.SPRING_SECURITY_FILTER_CHAIN)
// 仅在 Servlet 环境下该注解才有可能生效
// (最终生效与否要结合其他条件综合考虑)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
@EnableWebSecurity // <====== 这里启用了 Web 安全
public class WebSecurityEnablerConfiguration {

}

WebSecurityEnablerConfiguration 对注解 @EnableWebSecurity 的使用并没有遵循上面所举的典型用法的例子。

实际上,一个Spring Web应用中,WebSecurityConfigurerAdapter可能有多个 , @EnableWebSecurity可以不用在任何一个WebSecurityConfigurerAdapter上,可以用在每个WebSecurityConfigurerAdapter上,也可以只用在某一个WebSecurityConfigurerAdapter上。多处使用@EnableWebSecurity注解并不会导致问题,其最终运行时效果跟使用@EnableWebSecurity一次效果是一样的。

源代码

源代码版本 Spring Security Config 5.1.4.RELEASE

package org.springframework.security.config.annotation.web.configuration;

import java.lang.annotation.Documented;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;

import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Import;
import org.springframework.security.config.annotation.authentication.configuration.EnableGlobalAuthentication;
import org.springframework.security.config.annotation.web.WebSecurityConfigurer;

/**
 *
 * @see WebSecurityConfigurer
 * @see WebSecurityConfigurerAdapter
 *
 * @author Rob Winch
 * @since 3.2
 */
@Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME)
@Target(value = { java.lang.annotation.ElementType.TYPE })
@Documented
// 导入 WebSecurityConfiguration Web安全配置,Spring Web Mvc 有关安全的配置,OAuth2 有关安全的配置
@Import({ WebSecurityConfiguration.class,
		SpringWebMvcImportSelector.class,
		OAuth2ImportSelector.class })
// 启用全局安全认证机制		
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {

	/**
	 * Controls debugging support for Spring Security. Default is false.
	 * @return if true, enables debug support with Spring Security
	 */
	boolean debug() default false;
}
深入解析Spring Cloud Config:多样配置中心的实现与高可用策略
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
02-14 167万+
这篇文章探讨了配置中心的重要性及其在分布式系统中的应用,特别关注Spring Cloud Config。文章首先介绍了配置中心的由来、功能及选择标准,然后详细阐述了Spring Cloud Config的基本实现方法,包括结合Git、关系型数据库(MySQL)和非关系型数据库(MongoDB)的方案。此外,还讨论了配置中心的高可用性、客户端自动刷新机制及安全认证等扩展功能。最后,文章对比了Spring Cloud Config与Apollo的特性,强调Apollo在企业级应用中的优势。
SpringBoot集成Spring Security全解:从入门到精通实战指南(亲测可用)
本博客聚焦 YOLOv11 全流程落地,涵盖架构优化、数据集处理、训练技巧与多场景部署,兼及国产数据库、Java 开发与 AI 模型应用,内容兼顾理论与工程实践,为开发者提供系统干货,助力高效提升技术能力。
06-10 2321
1.3 Spring Boot的“魔法”:让安全配置“开箱即用” 如果说Spring Security是功能强大的“瑞士军刀”,那么Spring Boot就是那位能帮你把刀用得行云流水的“魔术师”。在没有Spring Boot的时代,配置Spring Security是一件相当繁琐的事情,你需要编写大量的XML或Java配置代码,来定义各种过滤器、处理器和提供者。 Spring Boot的出现彻底改变了这一切。它遵循“约定优于配置”的原则,通过spring-boot-starter-security这个启
什么时候需要用到 @EnableWebSecurity 注解
江南一点雨的专栏
06-05 2010
有小伙伴在学习 Spring Security 的遇到一个问题:箭头所指的位置报红,也就是 Spring 容器中没有找到一个类型为 HttpSecurity 的 Bean。小伙伴说如果他在配置类上加 @EnableWebSecurity 注解,就不报错;不加该注解则会报错。那么到底该不该加 @EnableWebSecurity 注解呢?今天就来和大伙聊一聊这个话题。
Spring Security注解详解】
samsung_samsung的专栏
05-06 1329
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于Java应用程序中以确保安全。它提供了多种注解来简化安全控制的实现,特别是在方法级别的权限控制上。
WebMvcConfigWebSecurityConfig 详解
最新发布
目前专注区块链相关技术的学习与分享
11-01 980
Spring Boot项目中的两个核心配置类WebMvcConfigWebSecurityConfig分别负责不同功能。WebMvcConfig通过实现WebMvcConfigurer接口配置MVC行为,包括拦截器注册、静态资源映射、跨域设置等。WebSecurityConfig继承WebSecurityConfigurerAdapter,负责安全配置,包含认证授权管理、密码加密、会话策略等。实际项目中,WebMvcConfig常用于API拦截处理,而WebSecurityConfig则配置JWT认证、权
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 3386
spring6体验
SpringSecurity 配置与使用(含新 API 替换过时的 WebSecurityConfigurerAdapter)
泡泡的博客
10-28 5594
As we all know,现今主流权限框架有 SpringSecurity、Shiro、SaToken,Shiro在前后端分离时代基本被淘汰,剩下适合大型项目的和 适合中小型项目的SaToken可以选择,SaToken 我也写了文章Springboot 使用 SaToken 进行登录认证、权限管理以及路由规则接口拦截。
@EnableWebSecurity的作用
热门推荐
weixin_42849689的博客
05-08 4万+
@EnableWebSecurity的作用 首先,EnableWebSecurity注解是个组合注解,他的注解中,又使用了@EnableGlobalAuthentication注解: 在这里插入代码片
SpringSecurity的@EnableWebSecurity注解
qq_29860591的博客
08-08 3426
SpringSecurity的@EnableWebSecurity注解 @EnableWebSecurity @EnableWebSecurity是开启SpringSecurity的默认行为,它的上面有一个Import注解导入了WebSecurityConfiguration类,也就是说我们加上了@EnableWebSecurity这个注解,就是往IOC容器中注入了WebSecurityConf...
Spring Boot整合Spring Security:构建高安全的分布式系统
weixin_42593797的博客
04-26 1691
在微服务架构中,系统安全面临两大核心挑战:‌认证分散化‌(多服务统一登录)和‌授权动态化‌(实时权限控制)。Spring Security作为Spring生态的官方安全框架,凭借其‌模块化设计‌、‌深度整合能力‌以及‌对OAuth2的天然支持‌,成为企业级安全方案的首选。本文基于‌与‌,深度解析其核心原理,并通过代码演示如何实现‌分布式认证‌、‌动态权限管理‌和‌无状态API保护‌。实现@Service@Autowired@Override。
Spring Security:Java 应用的安全框架
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
12-06 1118
Spring Security 是一个专注于认证和授权的安全框架,它为 Java 应用提供了多种安全功能,尤其适用于 Web 应用。认证:验证用户的身份。授权:控制用户的访问权限。防止跨站请求伪造(CSRF)攻击。防止会话固定攻击。支持 OAuth、JWT 等现代身份验证机制。它支持多种认证方式,包括基于表单的认证、HTTP 基本认证、LDAP、OAuth 2.0 等。你可以通过实现。
Spring Security入门:实现简单的HelloWorld安全控制
一旦 `spring-security-web` 和 `spring-security-config` 被引入项目依赖,Spring Boot 就会自动配置一套完整的安全过滤器链(Security Filter Chain),并将所有请求路径设为受保护状态,必须经过身份验证才能访问...
@EnableWebSecurity 注解的用途及适用场景
m0_67544708的博客
06-05 590
注解是一个重要的功能,用于启用 Spring SecurityWeb 安全功能。注解适用于需要实现 Web 安全功能的应用程序,可以帮助开发者快速构建一个安全、可靠的应用程序。Spring Security 提供了丰富的安全配置选项,可以定制登录页面、登录成功/失败处理、权限验证等。Spring Security 支持基于角色的访问控制,可以根据用户的角色来决定是否允许访问特定的资源。Spring Security 提供了会话管理功能,可以控制会话的创建、销毁、超时等。
spring Security @EnableWebSecurity注解
weixin_43738058的博客
09-17 3817
进入@EnableWebSecurity这个注解,可以看到它import了WebSecurityConfiguration配置类,另外使用了@EnableGlobalAuthentication注解 WebSecurityConfiguration 其中注入了springSecurityFilterChain这个Bean,这是Spring Secuity的核心过滤器, 这是请求的认证入口。 @EnableGlobalAuthentication 其中注入了AuthenticationConfigurati.
Spring Security @EnableWebSecurity 注解原理分析
blog_zxb的博客
09-28 2810
1.@EnableWebSecurity 2.@Import(WebSecurityConfiguration) 3.WebSecurityConfiguration是一个配置类@Configuration 4.进入@AutoWired方法:从容器中获取ObjectBeanProcessor和WebSecurityConfigurer的实现类(一般都是去继承WebSecurityConfigure...
spring securety 中 @EnableWebSecurity 注解: 如果是在Springboot中不加这个注解也没问题
qq_39384746的博客
04-19 2321
spring securety 中 @EnableWebSecurity 注解: 如果是在Springboot中不加这个注解也没问题 首先看到网上大部分教程在 WebSecurityConfigurerAdapter 进行配置时都加上了@EnableWebSecurity注解, 但是我发现我并没有加这个注解项目也没出现问题。Spring Security 原理,WebSecurityConfigurerAdapter 介绍,@EnableWebSecurity + FilterChainProxy.
Spring security源码解析系列02---要不要配置@EnableWebSecurity
一直打铁
11-12 1467
目录
6.2. EnableWebSecurity
weixin_33888907的博客
12-26 250
6.2.1.访问控制列表(Access Control List,ACL) 放行所有请求 http.authorizeRequests().antMatchers("/**" ).permitAll(); package cn.netkiller.config; import org.springframework...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值