Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
短信预约 -IT技能 免费直播动态提醒
在最新、独立的 Spring Security 5.7 版本,还是更新了不少内容,之前的 WebSecurityConfigurerAdapter 已经被废弃了,大家在使用的时候,可以参考下面的配置文件。
另外提醒一句,在最新的 Spring Boot 版本中的 Spring Security 并不一定也是最新版本,这个在实际开发中,需要留意一下哈。
此时,Spring Security 就不需要再去重写 configure() 方法了,直接通过 filterChain() 方法就能使用 HttpSecurity 来配置相关信息,非常方便。
官方参考文档中,也写得非常明白了,建议「逐字、逐句阅读」,供参考:Spring Security without the WebSecurityConfigurerAdapter
import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.web.SecurityFilterChain;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;import org.springframework.web.cors.CorsConfiguration;import org.springframework.web.cors.CorsConfigurationSource;import org.springframework.web.cors.UrlBasedCorsConfigurationSource;@Configuration@EnableWebSecurity// 添加 security 过滤器@EnableGlobalMethodSecurity(prePostEnabled = true)// 启用方法级别的权限认证public class SpringSecurityConfig { @Autowired private XxxUserService xxxUserService; // 权限不足错误信息处理,包含认证错误与鉴权错误处理 @Autowired private JwtAuthError jwtAuthError; // jwt 校验过滤器,从 http 头部 Authorization 字段读取 token 并校验 @Bean public JwtAuthFilter authFilter() throws Exception { return new JwtAuthFilter(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception { return authenticationConfiguration.getAuthenticationManager(); } @Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception { return http // 基于 token,不需要 csrf .csrf().disable() // 基于 token,不需要 session .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() // 设置 jwtAuthError 处理认证失败、鉴权失败 .exceptionHandling().authenticationEntryPoint(jwtAuthError).accessDeniedHandler(jwtAuthError).and() // 下面开始设置权限 .authorizeRequests(authorize -> authorize // 请求放开 .antMatchers(" @Bean CorsConfigurationSource corsConfigurationSource() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues()); return source; }}如果文章能帮到您,能帮我顺手点个赞、转发一下嘛?真心感谢、超级感谢!!!
来源地址:https://blog.csdn.net/qq_41340258/article/details/125138902
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
