Spring 博客

所有文章
工程
发布
新闻与活动

没有 WebSecurityConfigurerAdapter 的 Spring Security

工程 | Eleftheria Stein-Kousathana | 2022 年 2 月 21 日 | ...

在 Spring Security 5.7.0-M2 中,我们弃用了 WebSecurityConfigurerAdapter,我们鼓励用户转向基于组件的安全配置。

为了帮助用户过渡到这种新的配置风格,我们整理了一份常见用例列表以及未来的建议替代方案。

在下面的示例中,我们遵循最佳实践,使用 Spring Security lambda DSL 和 HttpSecurity#authorizeHttpRequests 方法来定义授权规则。如果您是 lambda DSL 的新手,可以在这篇博文中阅读相关内容。如果您想了解更多关于我们选择使用 HttpSecurity#authorizeHttpRequests 的原因,可以查看参考文档

配置 HttpSecurity

在 Spring Security 5.4 中,我们引入了通过创建 SecurityFilterChain bean 来配置 HttpSecurity 的能力。

下面是一个使用 WebSecurityConfigurerAdapter 配置的示例,它使用 HTTP Basic 来保护所有端点

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
    }

}

将来,推荐的方式是注册一个 SecurityFilterChain bean

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
        return http.build();
    }

}

配置 WebSecurity

在 Spring Security 5.4 中,我们还引入了 WebSecurityCustomizer

WebSecurityCustomizer 是一个回调接口,可用于定制 WebSecurity

下面是一个使用 WebSecurityConfigurerAdapter 的示例配置,它忽略匹配 /ignore1/ignore2 的请求

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

将来,推荐的方式是注册一个 WebSecurityCustomizer bean

@Configuration
public class SecurityConfiguration {

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
    }

}

警告:如果您正在配置 WebSecurity 以忽略请求,请考虑改为通过 HttpSecurity#authorizeHttpRequests 使用 permitAll。有关更多详细信息,请参见 configureJavadoc

LDAP 认证

在 Spring Security 5.7 中,我们引入了 EmbeddedLdapServerContextSourceFactoryBeanLdapBindAuthenticationManagerFactoryLdapPasswordComparisonAuthenticationManagerFactory,它们可用于创建嵌入式 LDAP 服务器以及执行 LDAP 认证的 AuthenticationManager

下面是一个使用 WebSecurityConfigurerAdapter 配置的示例,它创建了一个嵌入式 LDAP 服务器,并使用绑定认证执行 LDAP 认证的 AuthenticationManager

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .ldapAuthentication()
            .userDetailsContextMapper(new PersonContextMapper())
            .userDnPatterns("uid={0},ou=people")
            .contextSource()
            .port(0);
    }

}

将来,推荐的方式是使用新的 LDAP 类

@Configuration
public class SecurityConfiguration {
    @Bean
    public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
        EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
            EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
        contextSourceFactoryBean.setPort(0);
        return contextSourceFactoryBean;
    }

    @Bean
    AuthenticationManager ldapAuthenticationManager(
            BaseLdapPathContextSource contextSource) {
        LdapBindAuthenticationManagerFactory factory = 
            new LdapBindAuthenticationManagerFactory(contextSource);
        factory.setUserDnPatterns("uid={0},ou=people");
        factory.setUserDetailsContextMapper(new PersonContextMapper());
        return factory.createAuthenticationManager();
    }
}

JDBC 认证

下面是一个使用 WebSecurityConfigurerAdapter 和嵌入式 DataSource 的示例配置,该 DataSource 使用默认模式初始化并包含一个用户

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .build();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.jdbcAuthentication()
            .withDefaultSchema()
            .dataSource(dataSource())
            .withUser(user);
    }
}

推荐的方式是注册一个 JdbcUserDetailsManager bean

@Configuration
public class SecurityConfiguration {
    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .addScript(JdbcDaoImpl.DEFAULT_USER_SCHEMA_DDL_LOCATION)
            .build();
    }

    @Bean
    public UserDetailsManager users(DataSource dataSource) {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        JdbcUserDetailsManager users = new JdbcUserDetailsManager(dataSource);
        users.createUser(user);
        return users;
    }
}

注意:在这些示例中,为了可读性,我们使用了 User.withDefaultPasswordEncoder() 方法。它不适用于生产环境,我们建议您在外部对密码进行哈希处理。一种方法是使用 Spring Boot CLI,如参考文档中所述。

内存认证

下面是一个使用 WebSecurityConfigurerAdapter 配置的示例,它配置了一个包含单个用户的内存用户存储

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.inMemoryAuthentication()
            .withUser(user);
    }
}

推荐的方式是注册一个 InMemoryUserDetailsManager bean

@Configuration
public class SecurityConfiguration {
    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }
}

注意:在这些示例中,为了可读性,我们使用了 User.withDefaultPasswordEncoder() 方法。它不适用于生产环境,我们建议您在外部对密码进行哈希处理。一种方法是使用 Spring Boot CLI,如参考文档中所述。

全局 AuthenticationManager

要创建一个整个应用可用的 AuthenticationManager,您只需将 AuthenticationManager 注册为一个 @Bean

这种类型的配置已在上面的LDAP 认证示例中展示。

局部 AuthenticationManager

在 Spring Security 5.6 中,我们引入了 HttpSecurity#authenticationManager 方法,它用于覆盖特定 SecurityFilterChain 的默认 AuthenticationManager。下面是一个将自定义 AuthenticationManager 设置为默认值的配置示例

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults())
            .authenticationManager(new CustomAuthenticationManager());
        return http.build();
    }

}

访问局部 AuthenticationManager

可以通过自定义 DSL 访问局部 AuthenticationManager。这实际上是 Spring Security 内部实现  HttpSecurity.authorizeRequests() 等方法的方式。

public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
        http.addFilter(new CustomFilter(authenticationManager));
    }

    public static MyCustomDsl customDsl() {
        return new MyCustomDsl();
    }
}

然后可以在构建 SecurityFilterChain 时应用自定义 DSL

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    // ...
    http.apply(customDsl());
    return http.build();
}

参与其中

我们很高兴与您分享这些更新,并期待根据您的反馈进一步增强 Spring Security!如果您有兴趣做出贡献,可以在 GitHub 上找到我们。

获取 Spring 资讯

通过 Spring 资讯保持联系

订阅

先行一步

VMware 提供培训和认证,助力您的进步。

了解更多

获取支持

Tanzu Spring 通过一项简单的订阅,为 OpenJDK™、Spring 和 Apache Tomcat® 提供支持和二进制文件。

了解更多

近期活动

查看 Spring 社区的所有近期活动。

查看全部