没有WebSecurityConfigurerAdapter的Spring Security
没有WebSecurityConfigurerAdapter的Spring Security
最近一直在从springboot2.x向3.x学习迁移,付出了很大的学习成本,心得会不断分享。对于spring security来说,是该和WebSecurityConfigurerAdapter说再见了,因为在Spring Security 5.7.0-M2中WebSecurityConfigurerAdapter已经被弃用找不到了。搬来了官方的博文,翻译不好的地方可以看原文,链接如下:
Spring Security without the WebSecurityConfigurerAdapter
在Spring Security 5.7.0-M2中,我们弃用了WebSecurityConfigurerAdapter,因为我们鼓励用户转向基于组件的安全配置。
为了帮助过渡到这种新的配置风格,我们编制了一份常见用例和建议替代方案的列表。
在下面的示例中,我们遵循最佳实践,使用Spring Security lambda DSL和方法httpsecurity# authorizeHttpRequests来定义授权规则。如果您是lambda DSL的新手,您可以在这篇博客文章中了解它。如果你想了解更多关于为什么我们选择使用httpsecurity# authorizeHttpRequests,你可以查看参考文档(Authorize HttpServletRequests :: Spring Security)。
配置HttpSecurity
在Spring Security 5.4中,我们引入了通过创建SecurityFilterChain bean来配置HttpSecurity的功能。
下面是一个使用WebSecurityConfigurerAdapter的配置示例,它使用HTTP Basic保护所有端点:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
}
}
接下来,推荐的方法是注册一个SecurityFilterChain bean:
@Configuration
public class SecurityConfiguration {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults());
return http.build();
}
}
配置WebSecurity
在Spring Security 5.4中,我们还引入了WebSecurityCustomizer。
WebSecurityCustomizer是一个回调接口,可用于自定义WebSecurity。
下面是一个使用WebSecurityConfigurerAdapter忽略匹配/ignore1或/ignore2的请求的配置示例:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/ignore1", "/ignore2");
}
}
接下来,推荐的方法是注册一个WebSecurityCustomizer bean:
@Configuration
public class SecurityConfiguration {
@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
}
}
警告:如果你将WebSecurity配置为忽略请求,请考虑通过httpsecurity# authorizeHttpRequests使用permitAll。有关其他详细信息,请参阅configure Javadoc。
LDAP身份验证
在Spring Security 5.7中,我们介绍了EmbeddedLdapServerContextSourceFactoryBean、LdapBindAuthenticationManagerFactory和LdapPasswordComparisonAuthenticationManagerFactory,它们可用于创建嵌入式LDAP服务器和执行LDAP身份验证的AuthenticationManager。
下面是一个使用WebSecurityConfigurerAdapter的配置示例,它创建了一个嵌入式LDAP服务器和一个使用绑定身份验证执行LDAP身份验证的AuthenticationManager:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.ldapAuthentication()
.userDetailsContextMapper(new PersonContextMapper())
.userDnPatterns("uid={0},ou=people")
.contextSource()
.port(0);
}
}
接下来,推荐的方法是使用新的LDAP类:
@Configuration
public class SecurityConfiguration {
@Bean
public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
contextSourceFactoryBean.setPort(0);
return contextSourceFactoryBean;
}
@Bean
AuthenticationManager ldapAuthenticationManager(
BaseLdapPathContextSource contextSource) {
LdapBindAuthenticationManagerFactory factory =
new LdapBindAuthenticationManagerFactory(contextSource);
factory.setUserDnPatterns("uid={0},ou=people");
factory.setUserDetailsContextMapper(new PersonContextMapper());
return factory.createAuthenticationManager();
}
}
JDBC身份验证
下面是一个使用WebSecurityConfigurerAdapter的配置示例,其中嵌入了一个用默认模式初始化的数据源,并且只有一个用户:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Bean
public DataSource dataSource() {
return new EmbeddedDatabaseBuilder()
.setType(EmbeddedDatabaseType.H2)
.build();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
auth.jdbcAuthentication()
.withDefaultSchema()
.dataSource(dataSource())
.withUser(user);
}
}
推荐的方法是注册一个JdbcUserDetailsManager bean:
@Configuration
public class SecurityConfiguration {
@Bean
public DataSource dataSource() {
return new EmbeddedDatabaseBuilder()
.setType(EmbeddedDatabaseType.H2)
.addScript(JdbcDaoImpl.DEFAULT_USER_SCHEMA_DDL_LOCATION)
.build();
}
@Bean
public UserDetailsManager users(DataSource dataSource) {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
JdbcUserDetailsManager users = new JdbcUserDetailsManager(dataSource);
users.createUser(user);
return users;
}
}
注意:在这些示例中,为了提高可读性,我们使用了User.withDefaultPasswordEncoder()方法。它不是用于生产环境的,相反,我们建议在外部散列您的密码。一种方法是使用参考文档中描述的Spring Boot CLI。
内存中的身份验证
下面是一个使用WebSecurityConfigurerAdapter的配置示例,它用单个用户配置内存中的用户存储:
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
auth.inMemoryAuthentication()
.withUser(user);
}
}
推荐的方法是注册一个InMemoryUserDetailsManager bean:
@Configuration
public class SecurityConfiguration {
@Bean
public InMemoryUserDetailsManager userDetailsService() {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
return new InMemoryUserDetailsManager(user);
}
}
注意:在这些示例中,为了提高可读性,我们使用了User.withDefaultPasswordEncoder()方法。它不是用于生产环境的,相反,我们建议在外部散列您的密码。一种方法是使用参考文档中描述的Spring Boot CLI。
全局AuthenticationManager
要创建一个对整个应用程序可用的AuthenticationManager,只需将AuthenticationManager注册为@Bean即可。
在上面的LDAP身份验证示例中显示了这种类型的配置。
https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter#ldap-authentication
本地AuthenticationManager
在Spring Security 5.6中,我们引入了httpsecurity# authenticationManager方法,它覆盖了特定SecurityFilterChain的默认authenticationManager。下面是一个将自定义AuthenticationManager设置为默认值的示例配置:
@Configuration
public class SecurityConfiguration {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authz) -> authz
.anyRequest().authenticated()
)
.httpBasic(withDefaults())
.authenticationManager(new CustomAuthenticationManager());
return http.build();
}
}
访问本地AuthenticationManager
本地AuthenticationManager可以在自定义DSL中访问。这实际上是Spring Security内部实现HttpSecurity.authorizeRequests()等方法的方式。
public class MyCustomDsl extends AbstractHttpConfigurer {
@Override
public void configure(HttpSecurity http) throws Exception {
AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
http.addFilter(new CustomFilter(authenticationManager));
}
public static MyCustomDsl customDsl() {
return new MyCustomDsl();
}
}
自定义DSL可以在构建SecurityFilterChain时应用:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
// ...
http.apply(customDsl());
return http.build();
}
