原文链接:Spring Security - How to Fix WebSecurityConfigurerAdapter Deprecated

原文作者:Nam Ha Minh

原文发表日期:2022年6月1日

在这篇短文中,我想分享如何在使用Spring Security的Spring应用中避免“WebSecurityConfigurerAdapter类已被弃用”的警告。

也许你习惯于使用一个扩展自WebSecurityConfigurerAdapter抽象类的Spring配置类,就像这样:

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // configure HTTP security...

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        // configure Web security...

    }

}

这在Spring Security 5.6.5及更旧版本或Spring Boot 2.6.8及更旧版本没有问题。然而,如果你的项目使用Spring Security 5.7.1及更新版本或者Spring Boot 2.7.0及更新版本,你的IDE会警告你:

类WebSecurityConfigurerAdapter已被弃用

那么,为什么Spring Security弃用了WebSecurityConfigurerAdapter?它的继任者是什么?

这是因为Spring框架的开发者鼓励用户使用基于组件的(component-based)的安全配置。

在以前的用法中,我们扩展WebSecurityConfigurerAdapter类并且覆盖配置HttpSecurity和WebSecurity的方法;在新的用法中,我们得分别声明类型为SecurityFilterChain和WebSecurityCustomizer的bean,就像下面这样:

@Configuration

public class SecurityConfiguration {

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    }

    @Bean

    public WebSecurityCustomizer webSecurityCustomizer() {

    }

}

下面是从旧的安全配置转向基于组件的配置的代码示例。首先,让我们看看典型的扩展自WebSecurityConfigurerAdapter的安全配置类,如下所示:

 1 @Configuration

 2 @EnableWebSecurity

 3 public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 4

 5     @Bean

 6     public UserDetailsService userDetailsService() {

 7         return new ShopmeUserDetailsService();

 8     }

 9

10     @Bean

11     public BCryptPasswordEncoder passwordEncoder() {

12         return new BCryptPasswordEncoder();

13     }

14

15     @Override

16     protected void configure(HttpSecurity http) throws Exception {

17         http.authorizeRequests().antMatchers("/login").permitAll()

18                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

19                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

20                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

21                 .anyRequest().authenticated()

22                 .and().formLogin()

23                 .loginPage("/login")

24                     .usernameParameter("email")

25                     .permitAll()

26                 .and()

27                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

28                 .and()

29                 .logout().permitAll();

30

31         http.headers().frameOptions().sameOrigin();

32     }

33

34     @Override

35     public void configure(WebSecurity web) throws Exception {

36         web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

37     }

38 }

下面是不使用WebSecurityConfigurerAdapter的新的安全配置:

 1 package net.codejava;

 2

 3 import org.springframework.beans.factory.annotation.Autowired;

 4 import org.springframework.context.annotation.Bean;

 5 import org.springframework.security.config.annotation.web.builders.HttpSecurity;

 6 import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;

 7 import org.springframework.security.core.userdetails.UserDetailsService;

 8 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

 9 import org.springframework.security.web.SecurityFilterChain;

10

11 @Configuration

12 public class SecurityConfiguration {

13

14     @Bean

15     public UserDetailsService userDetailsService() {

16         return new ShopmeUserDetailsService();

17     }

18

19     @Bean

20     public BCryptPasswordEncoder passwordEncoder() {

21         return new BCryptPasswordEncoder();

22     }

23

24     @Bean

25     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

26         http.authorizeRequests().antMatchers("/login").permitAll()

27                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

28                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

29                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

30                 .anyRequest().authenticated()

31                 .and().formLogin()

32                 .loginPage("/login")

33                     .usernameParameter("email")

34                     .permitAll()

35                 .and()

36                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

37                 .and()

38                 .logout().permitAll();

39

40         http.headers().frameOptions().sameOrigin();

41

42         return http.build();

43     }

44

45     @Bean

46     public WebSecurityCustomizer webSecurityCustomizer() {

47         return (web) -> web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

48     }

以上就是如何在使用的Spring Security的Spring应用中避免“类WebSecurityConfigurerAdapter已被弃用”的警告的方法。你需要声明SecurityFilterChain和WebSecurityCustomizer两个bean而不是覆盖WebSecurityConfigurerAdapter类的方法。

注意:如果你不想修改你现在的代码,那么你的的Spring Boot版本应该低于2.7.0、Spring Security版本低于5.7.1。

我希望这篇文章能帮助到你,感谢阅读。

参考资料:Spring Security without the WebSecurityConfigurerAdapter

【翻译】Spring Security - 如何解决WebSecurityConfigurerAdapter类已被弃用的问题?的更多相关文章

  1. 【翻译】Spring Security抛弃了WebSecurityConfigurerAdapter

    原文链接:Spring Security without the WebSecurityConfigurerAdapter 作者:ELEFTHERIA STEIN-KOUSATHANA 发表日期:20 ...

  2. 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题

    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前 ...

  3. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  4. Spring Security(一):官网向导翻译

    原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture   ...

  5. spring security入门demo

    一.前言 因项目需要引入spring security权限框架,而之前也没接触过这个一门,于是就花了点时间弄了个小demo出来,说实话,刚开始接触这个确实有点懵,看网上资料写的权限大都是静态,即就是在 ...

  6. SpringBoot第二十三篇:安全性之Spring Security

    作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全 ...

  7. Java安全框架(一)Spring Security

    Java安全框架(一)Spring Security ​ 文章主要分三部分 1.Spring Security的架构及核心组件:(1)认证:(2)权限拦截:(3)数据库管理:(4)权限缓存:(5)自定 ...

  8. 深入Spring Security魔幻山谷-获取认证机制核心原理讲解(新版)

    文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考<Spring Boot+Spring Cloud+Vue+Element ...

  9. Spring Security 之基本概念

    Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring S ...

随机推荐

  1. CDH6.2.0 搭建大数据集群

    1. 资料准备 现在官网https://www.cloudera.com 需要注册账号,未来可能会收费等问题,十分麻烦,这里有一份我自己百度云的备份 链接: https://pan.baidu.com ...

  2. Taurus.MVC-Java 版本打包上传到Maven中央仓库(详细过程):4、Maven项目转换与pom.xml配置

    文章目录: Taurus.MVC-Java 版本打包上传到Maven中央仓库(详细过程):1.JIRA账号注册 Taurus.MVC-Java 版本打包上传到Maven中央仓库(详细过程):2.PGP ...

  3. win10算hash值,md5,sha256等,无需额外下载工具

    # windows_cmd certutil -hashfile .\文件名 SHA256 可选哈希算法:md2/md4/md5/sha1/sha256/sha384/sha512

  4. redis的简单学习记录

    安装 1 brew install redis 启动redis服务 1 redis-server & 启动命令 1 redis-cli -h 127.0.0.1 -p 6379 利用gored ...

  5. kafka的auto.offset.reset详解与测试

    1. 取值及定义 auto.offset.reset有以下三个可选值: latest (默认) earliest none 三者均有共同定义: 对于同一个消费者组,若已有提交的offset,则从提交的 ...

  6. 输入法词库解析(一)百度自定义方案.def

    详细代码:https://github.com/cxcn/dtool 前言 .def 是百度手机输入法-更多设置-自定义输入方案所使用的格式. 解析 码表偏移量 0x6D # 占用字节数 描述 a 1 ...

  7. 获取客户端访问真实 IP

    转载自:https://www.qikqiak.com/post/get-client-realip/ 通常,当集群内的客户端连接到服务的时候,是支持服务的 Pod 可以获取到客户端的 IP 地址的, ...

  8. 监控Redis集群,有两种方法

    前提条件 redis集群:已搭建三主三从(三台主机) prometheus.grafana已安装 三台主机ip: 192.168.0.39,192.168.0.164,192.168.0.68 第一种 ...

  9. 官方使用logstash同步Mysql数据表到ES的摘抄

    官方文档地址:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-jdbc.html#plugins-inputs-jdbc ...

  10. Libgdx游戏学习(1)——环境配置及demo运行

    原文: Libgdx游戏学习(1)--环境配置及demo运行 - Stars-One的杂货小窝 Libgdx游戏是基于Java的一款游戏引擎,可以发布Android,桌面端,Html,IOS等游戏,出 ...