原文链接:Spring Security - How to Fix WebSecurityConfigurerAdapter Deprecated

原文作者:Nam Ha Minh

原文发表日期:2022年6月1日

在这篇短文中,我想分享如何在使用Spring Security的Spring应用中避免“WebSecurityConfigurerAdapter类已被弃用”的警告。

也许你习惯于使用一个扩展自WebSecurityConfigurerAdapter抽象类的Spring配置类,就像这样:

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // configure HTTP security...

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        // configure Web security...

    }

}

这在Spring Security 5.6.5及更旧版本或Spring Boot 2.6.8及更旧版本没有问题。然而,如果你的项目使用Spring Security 5.7.1及更新版本或者Spring Boot 2.7.0及更新版本,你的IDE会警告你:

类WebSecurityConfigurerAdapter已被弃用

那么,为什么Spring Security弃用了WebSecurityConfigurerAdapter?它的继任者是什么?

这是因为Spring框架的开发者鼓励用户使用基于组件的(component-based)的安全配置。

在以前的用法中,我们扩展WebSecurityConfigurerAdapter类并且覆盖配置HttpSecurity和WebSecurity的方法;在新的用法中,我们得分别声明类型为SecurityFilterChain和WebSecurityCustomizer的bean,就像下面这样:

@Configuration

public class SecurityConfiguration {

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    }

    @Bean

    public WebSecurityCustomizer webSecurityCustomizer() {

    }

}

下面是从旧的安全配置转向基于组件的配置的代码示例。首先,让我们看看典型的扩展自WebSecurityConfigurerAdapter的安全配置类,如下所示:

 1 @Configuration

 2 @EnableWebSecurity

 3 public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 4

 5     @Bean

 6     public UserDetailsService userDetailsService() {

 7         return new ShopmeUserDetailsService();

 8     }

 9

10     @Bean

11     public BCryptPasswordEncoder passwordEncoder() {

12         return new BCryptPasswordEncoder();

13     }

14

15     @Override

16     protected void configure(HttpSecurity http) throws Exception {

17         http.authorizeRequests().antMatchers("/login").permitAll()

18                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

19                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

20                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

21                 .anyRequest().authenticated()

22                 .and().formLogin()

23                 .loginPage("/login")

24                     .usernameParameter("email")

25                     .permitAll()

26                 .and()

27                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

28                 .and()

29                 .logout().permitAll();

30

31         http.headers().frameOptions().sameOrigin();

32     }

33

34     @Override

35     public void configure(WebSecurity web) throws Exception {

36         web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

37     }

38 }

下面是不使用WebSecurityConfigurerAdapter的新的安全配置:

 1 package net.codejava;

 2

 3 import org.springframework.beans.factory.annotation.Autowired;

 4 import org.springframework.context.annotation.Bean;

 5 import org.springframework.security.config.annotation.web.builders.HttpSecurity;

 6 import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;

 7 import org.springframework.security.core.userdetails.UserDetailsService;

 8 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

 9 import org.springframework.security.web.SecurityFilterChain;

10

11 @Configuration

12 public class SecurityConfiguration {

13

14     @Bean

15     public UserDetailsService userDetailsService() {

16         return new ShopmeUserDetailsService();

17     }

18

19     @Bean

20     public BCryptPasswordEncoder passwordEncoder() {

21         return new BCryptPasswordEncoder();

22     }

23

24     @Bean

25     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

26         http.authorizeRequests().antMatchers("/login").permitAll()

27                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

28                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

29                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

30                 .anyRequest().authenticated()

31                 .and().formLogin()

32                 .loginPage("/login")

33                     .usernameParameter("email")

34                     .permitAll()

35                 .and()

36                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

37                 .and()

38                 .logout().permitAll();

39

40         http.headers().frameOptions().sameOrigin();

41

42         return http.build();

43     }

44

45     @Bean

46     public WebSecurityCustomizer webSecurityCustomizer() {

47         return (web) -> web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

48     }

以上就是如何在使用的Spring Security的Spring应用中避免“类WebSecurityConfigurerAdapter已被弃用”的警告的方法。你需要声明SecurityFilterChain和WebSecurityCustomizer两个bean而不是覆盖WebSecurityConfigurerAdapter类的方法。

注意:如果你不想修改你现在的代码,那么你的的Spring Boot版本应该低于2.7.0、Spring Security版本低于5.7.1。

我希望这篇文章能帮助到你,感谢阅读。

参考资料:Spring Security without the WebSecurityConfigurerAdapter

【翻译】Spring Security - 如何解决WebSecurityConfigurerAdapter类已被弃用的问题?的更多相关文章

  1. 【翻译】Spring Security抛弃了WebSecurityConfigurerAdapter

    原文链接:Spring Security without the WebSecurityConfigurerAdapter 作者:ELEFTHERIA STEIN-KOUSATHANA 发表日期:20 ...

  2. 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题

    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前 ...

  3. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  4. Spring Security(一):官网向导翻译

    原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture   ...

  5. spring security入门demo

    一.前言 因项目需要引入spring security权限框架,而之前也没接触过这个一门,于是就花了点时间弄了个小demo出来,说实话,刚开始接触这个确实有点懵,看网上资料写的权限大都是静态,即就是在 ...

  6. SpringBoot第二十三篇:安全性之Spring Security

    作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全 ...

  7. Java安全框架(一)Spring Security

    Java安全框架(一)Spring Security ​ 文章主要分三部分 1.Spring Security的架构及核心组件:(1)认证:(2)权限拦截:(3)数据库管理:(4)权限缓存:(5)自定 ...

  8. 深入Spring Security魔幻山谷-获取认证机制核心原理讲解(新版)

    文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考<Spring Boot+Spring Cloud+Vue+Element ...

  9. Spring Security 之基本概念

    Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring S ...

随机推荐

  1. 【C标准库】详解feof函数与EOF

    创作不易,多多支持! 再说此函数之前,先来说一下EOF是什么 EOF,为End Of File的缩写,通常在文本的最后存在此字符表示资料结束. 在C语言中,或更精确地说成C标准函式库中表示文件结束符. ...

  2. 第五十篇: webpack中的loader(一) --css-loader

    好家伙, 1.webpack配置中devServer节点的常用配置项 devServer:{ //首次打包完成后,自动打开浏览器 open:ture, //在http协议中,如果端口号是80,则可以被 ...

  3. KingbaseES 数据库Windows环境下注册数据库服务

    关键字: KingbaseES.Java.Register.服务注册 一.安装前准备 1.1 软件环境要求 金仓数据库管理系统KingbaseES V8.0支持微软Windows 7.Windows ...

  4. centos7设置时间和上海时区并进行同步

    1.设置时区(同步时间前先设置) timedatectl set-timezone Asia/Shanghai 2.安装组件 yum -y install ntp systemctl enable n ...

  5. stm32fxx_hal_i2c.c解读之HAL_I2C_Mem_Write

    HAL_I2C_Mem_Write()函数位于stm32fxx_hal_i2c.c文件的2432行,源代码对该函数的解释如下图 HAL_StatusTypeDef HAL_I2C_Mem_Write( ...

  6. salesforce零基础学习(一百一十八)Restrict Rule

    本篇参考: https://help.salesforce.com/s/articleView?id=sf.security_restriction_rule.htm&type=5 https ...

  7. .NET 6 EFCore WebApi 使用 JMeter 进行吞吐量测试

    .NET 6 EFCore WebApi 使用 JMeter 进行吞吐量测试 开发环境 VS2022 .NET 6 测试环境 测试工具 接口压力测试工具:JMeter 数据库 MySQL 5.7 数据 ...

  8. 谈谈对K8S CNI、CRI和CSI插件的理解

  9. tar.gz方式安装nacos设置使用systemct进行service方式的管理并设置开机自启动--废弃不用这个

    nacos解压缩目录是:/opt/nacos 编写shell脚本 # vim /opt/nacos/bin/nacos.sh #!/bin/bash source /etc/profile workD ...

  10. 请求库之requests库

    目录 一.介绍 二.基于get请求 1 基本请求 2 带参数的get请求 3 请求携带cookie 三.基于post请求 1 基本用法 2 发送post请求,模拟浏览器的登录行为 四.响应Respon ...