原文链接:Spring Security - How to Fix WebSecurityConfigurerAdapter Deprecated

原文作者:Nam Ha Minh

原文发表日期:2022年6月1日

在这篇短文中,我想分享如何在使用Spring Security的Spring应用中避免“WebSecurityConfigurerAdapter类已被弃用”的警告。

也许你习惯于使用一个扩展自WebSecurityConfigurerAdapter抽象类的Spring配置类,就像这样:

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // configure HTTP security...

    }

    @Override

    public void configure(WebSecurity web) throws Exception {

        // configure Web security...

    }

}

这在Spring Security 5.6.5及更旧版本或Spring Boot 2.6.8及更旧版本没有问题。然而,如果你的项目使用Spring Security 5.7.1及更新版本或者Spring Boot 2.7.0及更新版本,你的IDE会警告你:

类WebSecurityConfigurerAdapter已被弃用

那么,为什么Spring Security弃用了WebSecurityConfigurerAdapter?它的继任者是什么?

这是因为Spring框架的开发者鼓励用户使用基于组件的(component-based)的安全配置。

在以前的用法中,我们扩展WebSecurityConfigurerAdapter类并且覆盖配置HttpSecurity和WebSecurity的方法;在新的用法中,我们得分别声明类型为SecurityFilterChain和WebSecurityCustomizer的bean,就像下面这样:

@Configuration

public class SecurityConfiguration {

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    }

    @Bean

    public WebSecurityCustomizer webSecurityCustomizer() {

    }

}

下面是从旧的安全配置转向基于组件的配置的代码示例。首先,让我们看看典型的扩展自WebSecurityConfigurerAdapter的安全配置类,如下所示:

 1 @Configuration

 2 @EnableWebSecurity

 3 public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 4

 5     @Bean

 6     public UserDetailsService userDetailsService() {

 7         return new ShopmeUserDetailsService();

 8     }

 9

10     @Bean

11     public BCryptPasswordEncoder passwordEncoder() {

12         return new BCryptPasswordEncoder();

13     }

14

15     @Override

16     protected void configure(HttpSecurity http) throws Exception {

17         http.authorizeRequests().antMatchers("/login").permitAll()

18                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

19                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

20                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

21                 .anyRequest().authenticated()

22                 .and().formLogin()

23                 .loginPage("/login")

24                     .usernameParameter("email")

25                     .permitAll()

26                 .and()

27                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

28                 .and()

29                 .logout().permitAll();

30

31         http.headers().frameOptions().sameOrigin();

32     }

33

34     @Override

35     public void configure(WebSecurity web) throws Exception {

36         web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

37     }

38 }

下面是不使用WebSecurityConfigurerAdapter的新的安全配置:

 1 package net.codejava;

 2

 3 import org.springframework.beans.factory.annotation.Autowired;

 4 import org.springframework.context.annotation.Bean;

 5 import org.springframework.security.config.annotation.web.builders.HttpSecurity;

 6 import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;

 7 import org.springframework.security.core.userdetails.UserDetailsService;

 8 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

 9 import org.springframework.security.web.SecurityFilterChain;

10

11 @Configuration

12 public class SecurityConfiguration {

13

14     @Bean

15     public UserDetailsService userDetailsService() {

16         return new ShopmeUserDetailsService();

17     }

18

19     @Bean

20     public BCryptPasswordEncoder passwordEncoder() {

21         return new BCryptPasswordEncoder();

22     }

23

24     @Bean

25     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

26         http.authorizeRequests().antMatchers("/login").permitAll()

27                 .antMatchers("/users/**", "/settings/**").hasAuthority("Admin")

28                 .hasAnyAuthority("Admin", "Editor", "Salesperson")

29                 .hasAnyAuthority("Admin", "Editor", "Salesperson", "Shipper")

30                 .anyRequest().authenticated()

31                 .and().formLogin()

32                 .loginPage("/login")

33                     .usernameParameter("email")

34                     .permitAll()

35                 .and()

36                 .rememberMe().key("AbcdEfghIjklmNopQrsTuvXyz_0123456789")

37                 .and()

38                 .logout().permitAll();

39

40         http.headers().frameOptions().sameOrigin();

41

42         return http.build();

43     }

44

45     @Bean

46     public WebSecurityCustomizer webSecurityCustomizer() {

47         return (web) -> web.ignoring().antMatchers("/images/**", "/js/**", "/webjars/**");

48     }

以上就是如何在使用的Spring Security的Spring应用中避免“类WebSecurityConfigurerAdapter已被弃用”的警告的方法。你需要声明SecurityFilterChain和WebSecurityCustomizer两个bean而不是覆盖WebSecurityConfigurerAdapter类的方法。

注意:如果你不想修改你现在的代码,那么你的的Spring Boot版本应该低于2.7.0、Spring Security版本低于5.7.1。

我希望这篇文章能帮助到你,感谢阅读。

参考资料:Spring Security without the WebSecurityConfigurerAdapter

【翻译】Spring Security - 如何解决WebSecurityConfigurerAdapter类已被弃用的问题?的更多相关文章

  1. 【翻译】Spring Security抛弃了WebSecurityConfigurerAdapter

    原文链接:Spring Security without the WebSecurityConfigurerAdapter 作者:ELEFTHERIA STEIN-KOUSATHANA 发表日期:20 ...

  2. 通过 Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题

    spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前 ...

  3. Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】

    源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc 版 ...

  4. Spring Security(一):官网向导翻译

    原文出自  https://spring.io/guides/topicals/spring-security-architecture Spring Security Architecture   ...

  5. spring security入门demo

    一.前言 因项目需要引入spring security权限框架,而之前也没接触过这个一门,于是就花了点时间弄了个小demo出来,说实话,刚开始接触这个确实有点懵,看网上资料写的权限大都是静态,即就是在 ...

  6. SpringBoot第二十三篇:安全性之Spring Security

    作者:追梦1819 原文:https://www.cnblogs.com/yanfei1819/p/11350255.html 版权声明:本文为博主原创文章,转载请附上博文链接! 引言   系统的安全 ...

  7. Java安全框架(一)Spring Security

    Java安全框架(一)Spring Security ​ 文章主要分三部分 1.Spring Security的架构及核心组件:(1)认证:(2)权限拦截:(3)数据库管理:(4)权限缓存:(5)自定 ...

  8. 深入Spring Security魔幻山谷-获取认证机制核心原理讲解(新版)

    文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考<Spring Boot+Spring Cloud+Vue+Element ...

  9. Spring Security 之基本概念

    Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring S ...

随机推荐

  1. HTML初学者小知识2

    网页内嵌 代码以及演示如下 代码 <div id="tab_1"> <iframe src="div.html" height="5 ...

  2. 第四十九篇:webpack的基本使用(三) --安装和配置html-webpack-plugin插件

    好家伙, 1.html-webpack-plugin的作用 讲一下为什么需要这个插件 存在问题:在点开locahost:8080之后出现的是项目的根目录,而不是网页 这时候需要再点开scr文件夹才能看 ...

  3. 项目实践2:项目中的CSS网页布局(常用)

    好家伙, 整个网页做下来,最主要的,自然是css的网页布局(菜鸟好用啊) 我需要一个大概这样的布局: 然后上代码: <!DOCTYPE html> <html> <hea ...

  4. 学习ASP.NET Core Blazor编程系列二——第一个Blazor应用程序(中)

    学习ASP.NET Core Blazor编程系列一--综述 学习ASP.NET Core Blazor编程系列二--第一个Blazor应用程序(上) 四.创建一个Blazor应用程序 1. 第一种创 ...

  5. KingbaseES 的行列转换

    目录 背景 行转列 数据准备 分组聚合函数+CASE 根据压缩数据的格式,横向展开数据列选取不同方式 crosstab函数 PIVOT 操作符 PIVOT 操作符的限制 工具 ksql 的元命令 \c ...

  6. python脚本将json文件生成C语言结构体

    1.引言 以前用过python脚本根据excel生成相关C语言代码,其实本质就是文件的读写,主要是逻辑问题,这次尝试将json文件生成C语言的结构体. 2.代码 这是一个json文件,生成这个结构体的 ...

  7. 使用Steamwork.Net 接入Steam一点心得

    1.  前言 这是我在开发过程中使用的一点总结,目前使用的东西包含基础登录功能,存档功能,成就系统,以及DLC安装功能.Steamwork不仅仅有这些功能还有游戏内交易,排行榜,数据传输等功能,这些功 ...

  8. Java 函数式编程

    由 JS 转 Java,写惯了 React,习惯了函数式,因此转 Java 时也是先学函数式. 语法糖「Syntactic Sugar」 起初,Java 的函数式看起来是匿名类的一个语法糖. Stre ...

  9. mysql8 安装与配置文件添加时区

    mysql默认时区选择了CST mysql>show variables like '%time_zone%'; 解决办法:(建议通过修改配置文件来解决) 通过命令在线修改: mysql> ...

  10. 基于python的RSA解密算法

    摘要 网上有很多关于RSA的解密脚本,欧拉函数.欧几里得函数什么的,对于一个大专生的我来说,一窍不通,至此经历了三天三夜,我翻阅了RSA的加密原理,以及其底层算法,专研出了一套我自己的解密算法,尚有不 ...