-
SpringBoot - WebSecurityConfigurerAdapter的作用是什么?
写在前面
WebSecurityConfigurer 只是一个空接口,WebSecurityConfigurerAdapter 就是针对这个空接口提供一个具体的实现,最终目的还是为了方便配置 WebSecurity。
public abstract class WebSecurityConfigurerAdapter implements WebSecurityConfigurer<WebSecurity> {}- 1
- 2
一句话:Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,它实现了默认的认证和授权,允许用户自定义一个WebSecurity类,重写其中的三个configure来实现自定义的认证和授权,这三个方法如下:
// 自定义身份认证的逻辑 protected void configure(AuthenticationManagerBuilder auth) throws Exception { } // 自定义全局安全过滤的逻辑 public void configure(WebSecurity web) throws Exception { } // 自定义URL访问权限的逻辑 protected void configure(HttpSecurity http) throws Exception { }- 1
- 2
- 3
- 4
- 5
- 6
SpringBoot - HttpSecurity是什么?
SpringBoot - WebMvcConfigurer的作用是什么?作用是什么?
WebSecurityConfigurerAdapter 管理着Spring Security的整个配置体系,主要包括用户身份认证的管理、全局安全过滤管理和URL访问权限控制的管理。
身份认证
/** * 身份认证接口 */ @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder()); } /** * 强散列哈希加密实现 */ @Bean public BCryptPasswordEncoder bCryptPasswordEncoder() { return new BCryptPasswordEncoder(); }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
全局过滤
我们一般不会过多来自定义 WebSecurity , 使用较多的使其ignoring() 方法用来忽略 Spring Security 对静态资源的控制。
访问控制
@Override protected void configure(HttpSecurity httpSecurity) throws Exception { // 注解标记允许匿名访问的url ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests(); permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll()); httpSecurity // CSRF禁用,因为不使用session .csrf().disable() // 认证失败处理类 .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and() // 基于token,所以不需要session .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() // 过滤请求 .authorizeRequests() // 1. 对于登录、注册和验证码等方法允许匿名访问 .antMatchers("/login", "/register", "/captchaImage").anonymous() // 2. 对于静态资源允许任何用户访问 .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll() // 3. 对于SWAGGER相关信息允许任何用户访问 .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll() // 除上面1.2.3.以外的所有请求全部需要鉴权认证 .anyRequest().authenticated() .and() .headers().frameOptions().disable(); // 添加自定义的登出处理器 httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler); // 在UsernamePasswordAuthenticationFilter之前添加自定义的JWT过滤器 httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); // 在自定义的JWT过滤器前添加跨域过滤器 httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class); // 在用户登出过滤器前添加跨域过滤器 httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class); }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
WebSecurityConfigurerAdapter 和 ResourceServerConfigurerAdapter的区别
① 模块不同
A. WebSecurityConfigurerAdapter:是spring-security-config包中的;
B. ResourceServerConfigurerAdapter:是spring-security-oauth2中包中的;
② 优先级不同
①. 默认自动注册时@Order的优先级不同,@Order(数字),数字值越小,优先级越高,然后相同的方法只使用优先级高的,这也就是为啥同时使用资源服务配置与安全配置的时候,且不手动指定@Order注解的值的时候,后者的配置不生效,当然可以通过手动指定@Order(数字)来调整优先级的高低。
②. ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter同时使用只有ResourceServerConfigurerAdapter生效。
③. 如果想让WebSecurityConfigurerAdapter比ResourceServerConfigurerAdapter优先级高的话,只须将前者的@Order值设置的比后者的@Order值更低即可。
A. WebSecurityConfigurerAdapter:@Order(数字),数字大,优先级低;
B. ResourceServerConfigurerAdapter:@Order(数字),数字小,优先级高;
-
相关阅读:
dubbo 接口的测试方法汇总
密码技术学习一:密码
架构开发与优化咨询和实施服务
【Linux 系统】gcc/g++使用零星整理
C++ DAY08 异常
【SpringCloud微服务项目实战-mall4cloud项目(3)】——mall4cloud-auth
java8 reduce分组去重
用户数据权利请求响应
【无标题】
有效涨点!用于低分辨率图像和小物体的新 CNN 模块SPD-Conv
- 原文地址:https://blog.csdn.net/goodjava2007/article/details/126132381
