spring-security-oauth2之WebSecurityConfigurerAdapter浅析

衔接上文，下面聊聊配置Oauth2服务时的配置类WebSecurityConfigurerAdapter。
1、WebSecurityConfigurerAdapter
WebSecurityConfigurerAdapter继承自WebSecurityConfigurer，在Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurityConfiguration 来配置的。
提供的具体方法如下：

主要配置3个configure：

• configure(AuthenticationManagerBuilder)
• configure(HttpSecurity)
• configure(WebSecurity)

第1个是配置认证管理器AuthenticationManager，第2个主要是配置 Spring Security 中的过滤器链，第3个主要是配置一些路径放行规则。

2、AuthenticationManagerBuilder
void configure(AuthenticationManagerBuilder auth) 用来配置认证管理器AuthenticationManager，说白了就是所有 UserDetails 相关的它都管，包含 PasswordEncoder 密码等。
常见用法：

 //默认认证管理器DaoAuthenticationConfigurer注入用户信息
 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
 }
 //或自定义认证
 protected void configure(AuthenticationManagerBuilder auth) {
     // 自定义认证
     auth.authenticationProvider(customAuthenticationProvider());
 }
1
2
3
4
5
6
7
8
9
10

3、HttpSecurity
void configure(HttpSecurity http) 这个是我们使用最多的，用来配置 HttpSecurity 。 HttpSecurity 用于构建一个安全过滤器链 SecurityFilterChain ，SecurityFilterChain 最终被注入核心过滤器 。 HttpSecurity 有许多我们需要的配置，可以通过它来进行自定义安全访问策略。
常见用法：

	@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().disable();
        http.csrf().disable();
        http
                .requestMatchers().antMatchers("/oauth/**")
                //拦截上面匹配后的url，需要认证后访问
                .and()
                .authorizeRequests().antMatchers("/oauth/**").authenticated();
        http
                .sessionManagement()
                .invalidSessionUrl("/login")
                .maximumSessions(1)
                .expiredUrl("/login");
    }
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15