SpringBoot - WebSecurityConfigurerAdapter的作用是什么?
Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,它实现了默认的认证和授权,允许用户自定义一个WebSecurity类,重写其中的三个configure来实现自定义的认证和授权。
写在前面
WebSecurityConfigurer 只是一个空接口,WebSecurityConfigurerAdapter 就是针对这个空接口提供一个具体的实现,最终目的还是为了方便配置 WebSecurity。
public abstract class WebSecurityConfigurerAdapter
implements WebSecurityConfigurer<WebSecurity> {}
一句话:Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,它实现了默认的认证和授权,允许用户自定义一个WebSecurity类,重写其中的三个configure来实现自定义的认证和授权,这三个方法如下:
// 自定义身份认证的逻辑
protected void configure(AuthenticationManagerBuilder auth) throws Exception { }
// 自定义全局安全过滤的逻辑
public void configure(WebSecurity web) throws Exception { }
// 自定义URL访问权限的逻辑
protected void configure(HttpSecurity http) throws Exception { }
SpringBoot - HttpSecurity是什么?
SpringBoot - WebMvcConfigurer的作用是什么?
作用是什么?
WebSecurityConfigurerAdapter 管理着Spring Security的整个配置体系,主要包括用户身份认证的管理、全局安全过滤管理和URL访问权限控制的管理。
身份认证
/**
* 身份认证接口
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
}
/**
* 强散列哈希加密实现
*/
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
全局过滤
我们一般不会过多来自定义 WebSecurity , 使用较多的使其ignoring() 方法用来忽略 Spring Security 对静态资源的控制。
访问控制
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
// 注解标记允许匿名访问的url
ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());
httpSecurity
// CSRF禁用,因为不使用session
.csrf().disable()
// 认证失败处理类
.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
// 基于token,所以不需要session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
// 过滤请求
.authorizeRequests()
// 1. 对于登录、注册和验证码等方法允许匿名访问
.antMatchers("/login", "/register", "/captchaImage").anonymous()
// 2. 对于静态资源允许任何用户访问
.antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
// 3. 对于SWAGGER相关信息允许任何用户访问
.antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
// 除上面1.2.3.以外的所有请求全部需要鉴权认证
.anyRequest().authenticated()
.and()
.headers().frameOptions().disable();
// 添加自定义的登出处理器
httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
// 在UsernamePasswordAuthenticationFilter之前添加自定义的JWT过滤器
httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
// 在自定义的JWT过滤器前添加跨域过滤器
httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
// 在用户登出过滤器前添加跨域过滤器
httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
}
WebSecurityConfigurerAdapter 和 ResourceServerConfigurerAdapter的区别
① 模块不同
A. WebSecurityConfigurerAdapter:是spring-security-config包中的;
B. ResourceServerConfigurerAdapter:是spring-security-oauth2中包中的;
② 优先级不同
①. 默认自动注册时@Order的优先级不同,@Order(数字),数字值越小,优先级越高,然后相同的方法只使用优先级高的,这也就是为啥同时使用资源服务配置与安全配置的时候,且不手动指定@Order注解的值的时候,后者的配置不生效,当然可以通过手动指定@Order(数字)来调整优先级的高低。
②. ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter同时使用只有ResourceServerConfigurerAdapter生效。
③. 如果想让WebSecurityConfigurerAdapter比ResourceServerConfigurerAdapter优先级高的话,只须将前者的@Order值设置的比后者的@Order值更低即可。
A. WebSecurityConfigurerAdapter:@Order(数字),数字大,优先级低;
B. ResourceServerConfigurerAdapter:@Order(数字),数字小,优先级高;
为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。
更多推荐
2
0- 0
已为社区贡献20条内容
所有评论(0)