原文链接:Spring Security - How to Fix WebSecurityConfigurerAdapter Deprecated

原文作者:Nam Ha Minh

原文发表日期:2022年6月1日

在这篇短文中,我想分享如何在使用Spring Security的Spring应用中避免“WebSecurityConfigurerAdapter类已被弃用”的警告。

也许你习惯于使用一个扩展自WebSecurityConfigurerAdapter抽象类的Spring配置类,就像这样:

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // configure HTTP security...

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        // configure Web security...

    }

}

这在Spring Security 5.6.5及更旧版本或Spring Boot 2.6.8及更旧版本没有问题。然而,如果你的项目使用Spring Security 5.7.1及更新版本或者Spring Boot 2.7.0及更新版本,你的IDE会警告你:

类WebSecurityConfigurerAdapter已被弃用

那么,为什么Spring Security弃用了WebSecurityConfigurerAdapter?它的继任者是什么?

这是因为Spring框架的开发者鼓励用户使用基于组件的(component-based)的安全配置。

在以前的用法中,我们扩展WebSecurityConfigurerAdapter类并且覆盖配置HttpSecurity和WebSecurity的方法;在新的用法中,我们得分别声明类型为SecurityFilterChain和WebSecurityCustomizer的bean,就像下面这样:

@Configuration

public class SecurityConfiguration {

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    }

    @Bean

    public WebSecurityCustomizer webSecurityCustomizer() {

    }

}

下面是从旧的安全配置转向基于组件的配置的代码示例。首先,让我们看看典型的扩展自WebSecurityConfigurerAdapter的安全配置类,如下所示:

 1 @Configuration

 2 @EnableWebSecurity

 3 public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 4

 5     @Bean

 6     public UserDetailsService userDetailsService() {

 7         return new ShopmeUserDetailsService();

 8     }

 9

10     @Bean

11     public BCryptPasswordEncoder passwordEncoder() {

12         return new BCryptPasswordEncoder();

13     }

14

15     @Override

16     protected void configure(HttpSecurity http) throws Exception {

17         http.authorizeRequests().antMatchers("/login").permitAll()

18                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

19                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

20                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

21                 .anyRequest().authenticated()

22                 .and().formLogin()

23                 .loginPage("/login")

24                     .usernameParameter("email")

25                     .permitAll()

26                 .and()

27                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

28                 .and()

29                 .logout().permitAll();

30

31         http.headers().frameOptions().sameOrigin();

32     }

33

34     @Override

35     public void configure(WebSecurity web) throws Exception {

36         web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

37     }

38 }

下面是不使用WebSecurityConfigurerAdapter的新的安全配置:

 1 package net.codejava;

 2

 3 import org.springframework.beans.factory.annotation.Autowired;

 4 import org.springframework.context.annotation.Bean;

 5 import org.springframework.security.config.annotation.web.builders.HttpSecurity;

 6 import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;

 7 import org.springframework.security.core.userdetails.UserDetailsService;

 8 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

 9 import org.springframework.security.web.SecurityFilterChain;

10

11 @Configuration

12 public class SecurityConfiguration {

13

14     @Bean

15     public UserDetailsService userDetailsService() {

16         return new ShopmeUserDetailsService();

17     }

18

19     @Bean

20     public BCryptPasswordEncoder passwordEncoder() {

21         return new BCryptPasswordEncoder();

22     }

23

24     @Bean

25     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

26         http.authorizeRequests().antMatchers("/login").permitAll()

27                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

28                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

29                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

30                 .anyRequest().authenticated()

31                 .and().formLogin()

32                 .loginPage("/login")

33                     .usernameParameter("email")

34                     .permitAll()

35                 .and()

36                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

37                 .and()

38                 .logout().permitAll();

39

40         http.headers().frameOptions().sameOrigin();

41

42         return http.build();

43     }

44

45     @Bean

46     public WebSecurityCustomizer webSecurityCustomizer() {

47         return (web) -> web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

48     }

以上就是如何在使用的Spring Security的Spring应用中避免“类WebSecurityConfigurerAdapter已被弃用”的警告的方法。你需要声明SecurityFilterChain和WebSecurityCustomizer两个bean而不是覆盖WebSecurityConfigurerAdapter类的方法。

注意:如果你不想修改你现在的代码,那么你的的Spring Boot版本应该低于2.7.0、Spring Security版本低于5.7.1。

我希望这篇文章能帮助到你,感谢阅读。

参考资料:Spring Security without the WebSecurityConfigurerAdapter

【翻译】Spring Security - 如何解决WebSecurityConfigurerAdapter类已被弃用的问题?的更多相关文章

  1. 【翻译】Spring Security抛弃了WebSecurityConfigurerAdapter

    原文链接:Spring Security without the WebSecurityConfigurerAdapter 作者:ELEFTHERIA STEIN-KOUSATHANA 发表日期:20 ...

  2. 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题

    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前 ...

  3. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  4. Spring Security(一):官网向导翻译

    原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture   ...

  5. spring security入门demo

    一.前言 因项目需要引入spring security权限框架,而之前也没接触过这个一门,于是就花了点时间弄了个小demo出来,说实话,刚开始接触这个确实有点懵,看网上资料写的权限大都是静态,即就是在 ...

  6. SpringBoot第二十三篇:安全性之Spring Security

    作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全 ...

  7. Java安全框架(一)Spring Security

    Java安全框架(一)Spring Security ​ 文章主要分三部分 1.Spring Security的架构及核心组件:(1)认证:(2)权限拦截:(3)数据库管理:(4)权限缓存:(5)自定 ...

  8. 深入Spring Security魔幻山谷-获取认证机制核心原理讲解(新版)

    文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考<Spring Boot+Spring Cloud+Vue+Element ...

  9. Spring Security 之基本概念

    Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring S ...

随机推荐

  1. HTML初学者小知识2

    网页内嵌 代码以及演示如下 代码 <div id="tab_1"> <iframe src="div.html" height="5 ...

  2. java基础———标识符和关键字

    标识符以字母开头  (A-Z)或(a-z)    美元符($)     下划线(_) 不能以关键字作为变量名或者方法名 标识符大小写不能混淆 可以中文(不建议) 常用的关键字

  3. KingbaseES V8R6 维护管理案例之---Kstudio在CentOS 7启动故障

    ​ 案例说明: 在CentOS 7上安装KingbaseES V8R6C006数据库后,启动Kstudio图形界面启动失败,gtk动态库加载失败,安装gtk相关动态库后,问题解决. 适用版本: Kin ...

  4. maven执行跳过测试

    -Dmaven.test.skip=true 例子 mvn clean install -Dmaven.test.skip=true

  5. 解决element-ui中组件【el-upload】一次性上传多张图片的问题

    element-ui 中的组件 el-upload默认的行为是一张图片请求一次,在项目需求中,通常是多张图片要求只向后台请求一次,下面的做法就是为了实现这样的需求 前端 <el-upload r ...

  6. dp-位移模型(数字三角形演变)

    由数字三角形问题演变而来下面的题: https://www.cnblogs.com/sxq-study/p/12303589.html 一:规定位移方向 题目: Hello Kitty想摘点花生送给她 ...

  7. 我的Go并发之旅、01 并发哲学与并发原语

    注:本文所有函数名为中文名,并不符合代码规范,仅供读者理解参考. 上下文 上下文(Context)代表了程序(也可以是进程,操作系统,机器)运行时的环境和状态,联系程序整个生命周期与资源调用,是程序可 ...

  8. ELK基于ElastAlert实现日志的微信报警

    文章转载自:https://mp.weixin.qq.com/s/W9b28CFBEmxBPz5bGd1-hw 教程pdf文件下载地址 https://files.cnblogs.com/files/ ...

  9. 官方文档----ProxySQL 1.4.2 现在支持原生集群!!!

    官方文档地址:https://proxysql.com/blog/proxysql-cluster/ 前言 ProxySQL 是一个去中心化的代理,建议靠近应用部署.这种方法甚至可以很好地扩展到数百个 ...

  10. 「Chroot环境」Debian Testing amd64 on arm64

    这个是适用于ARM64环境的AMD64 Debian Testing系统.基于FEX转译.这个系统运行在ARM64的手机和电脑上,运行的软件是AMD64(X64)格式.下载链接提供桌面版和基础版.适用 ...