关于springboot:进入-SpringBoot27有一个重要的类过期了

44次阅读

共计 3754 个字符,预计需要花费 10 分钟才能阅读完成。

明天来聊一个简略的话题~是一个小伙伴在星球上的发问。


进入到 SpringBoot2.7 时代,有小伙伴发现有一个罕用的类突然过期了:

在 Spring Security 时代,这个类可太重要了。过期的类当然能够持续应用,然而你要是决定顺当,只须要略微看一下正文,基本上就明确该怎么玩了。

咱们来看下 WebSecurityConfigurerAdapter 的正文:

从这段正文中咱们大略就明确了咋回事了。

以前咱们自定义类继承自 WebSecurityConfigurerAdapter 来配置咱们的 Spring Security,咱们次要是配置两个货色:

  • configure(HttpSecurity)
  • configure(WebSecurity)

前者次要是配置 Spring Security 中的过滤器链,后者则次要是配置一些门路放行规定。

当初在 WebSecurityConfigurerAdapter 的正文中,人家曾经把意思说的很明确了:

  1. 当前如果想要配置过滤器链,能够通过自定义 SecurityFilterChain Bean 来实现。
  2. 当前如果想要配置 WebSecurity,能够通过 WebSecurityCustomizer Bean 来实现。

那么接下来咱们就通过一个简略的例子来看下。

首先咱们新建一个 Spring Boot 工程,引入 Web 和 Spring Security 依赖,留神 Spring Boot 抉择最新的 2.7。

接下来咱们提供一个简略的测试接口,如下:

@RestController
public class HelloController {@GetMapping("/hello")
    public String hello() {return "hello 江南一点雨!";}
}

小伙伴们晓得,在 Spring Security 中,默认状况下,只有增加了依赖,咱们我的项目的所有接口就曾经被通通爱护起来了,当初启动我的项目,拜访 /hello 接口,就须要登录之后才能够拜访,登录的用户名是 user,明码则是随机生成的,在我的项目的启动日志中。

当初咱们的第一个需要是应用自定义的用户,而不是零碎默认提供的,这个简略,咱们只须要向 Spring 容器中注册一个 UserDetailsService 的实例即可,像上面这样:

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一点雨").password("{noop}123").roles("admin").build());
        return users;
    }

}

这就能够了。

当然我当初的用户是存在内存中的,如果你的用户是存在数据库中,那么只须要提供 UserDetailsService 接口的实现类并注入 Spring 容器即可,这个之前在 vhr 视频中讲过屡次了(公号后盾回复 666 有视频介绍),这里就不再赘述了。

然而如果说我心愿 /hello 这个接口可能匿名拜访,并且我心愿这个匿名拜访还不通过 Spring Security 过滤器链,要是在以前,咱们能够重写 configure(WebSecurity) 办法进行配置,然而当初,得换一种玩法:

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一点雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    WebSecurityCustomizer webSecurityCustomizer() {return new WebSecurityCustomizer() {
            @Override
            public void customize(WebSecurity web) {web.ignoring().antMatchers("/hello");
            }
        };
    }

}

以前位于 configure(WebSecurity) 办法中的内容,当初位于 WebSecurityCustomizer Bean 中,该配置的货色写在这里就能够了。

那如果我还心愿对登录页面,参数等,进行定制呢?持续往下看:

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一点雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    SecurityFilterChain securityFilterChain() {List<Filter> filters = new ArrayList<>();
        return new DefaultSecurityFilterChain(new AntPathRequestMatcher("/**"), filters);
    }

}

Spring Security 的底层实际上就是一堆过滤器,所以咱们之前在 configure(HttpSecurity) 办法中的配置,实际上就是配置过滤器链。当初过滤器链的配置,咱们通过提供一个 SecurityFilterChain Bean 来配置过滤器链,SecurityFilterChain 是一个接口,这个接口只有一个实现类 DefaultSecurityFilterChain,构建 DefaultSecurityFilterChain 的第一个参数是拦挡规定,也就是哪些门路须要拦挡,第二个参数则是过滤器链,这里我给了一个空集合,也就是咱们的 Spring Security 会拦挡下所有的申请,而后在一个空集合中走一圈就完结了,相当于不拦挡任何申请。

此时重启我的项目,你会发现 /hello 也是能够间接拜访的,就是因为这个门路不通过任何过滤器。

其实我感觉目前这中新写法比以前老的写法更直观,更容易让大家了解到 Spring Security 底层的过滤器链工作机制。

有小伙伴会说,这写法跟我以前写的也不一样呀!这么配置,我也不晓得 Spring Security 中有哪些过滤器,其实,换一个写法,咱们就能够将这个配置成以前那种样子:

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一点雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
        return http.build();}

}

这么写,就跟以前的写法其实没啥大的差异了。

好啦,多余的废话我就不多说了,小伙伴们能够去试试 Spring Boot2.7 的最新玩法啦~

正文完
 0