完美的世界 1993 电影,小说改编的网页游戏,好看的电视剧

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

進(jìn)入SpringBoot2.7，有一個(gè)重要的類過期了

進(jìn)入到 SpringBoot2.7 時(shí)代，有小伙伴發(fā)現(xiàn)有一個(gè)常用的類忽然過期了：

在 Spring Security 時(shí)代，這個(gè)類可太重要了。過期的類當(dāng)然可以繼續(xù)使用，但是你要是決定別扭，只需要稍微看一下注釋，基本上就明白該怎么玩了。

我們來看下 WebSecurityConfigurerAdapter 的注釋：

從這段注釋中我們大概就明白了咋回事了。

以前我們自定義類繼承自 WebSecurityConfigurerAdapter 來配置我們的 Spring Security，我們主要是配置兩個(gè)東西：

configure(HttpSecurity)
configure(WebSecurity)

前者主要是配置 Spring Security 中的過濾器鏈，后者則主要是配置一些路徑放行規(guī)則。

現(xiàn)在在 WebSecurityConfigurerAdapter 的注釋中，人家已經(jīng)把意思說的很明白了：

以后如果想要配置過濾器鏈，可以通過自定義 SecurityFilterChain Bean 來實(shí)現(xiàn)。
以后如果想要配置 WebSecurity，可以通過 WebSecurityCustomizer Bean 來實(shí)現(xiàn)。

那么接下來我們就通過一個(gè)簡單的例子來看下。

首先我們新建一個(gè) Spring Boot 工程，引入 Web 和 Spring Security 依賴，注意 Spring Boot 選擇最新的 2.7。

接下來我們提供一個(gè)簡單的測試接口，如下：

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello 江南一點(diǎn)雨!";
    }
}

小伙伴們知道，在 Spring Security 中，默認(rèn)情況下，只要添加了依賴，我們項(xiàng)目的所有接口就已經(jīng)被統(tǒng)統(tǒng)保護(hù)起來了，現(xiàn)在啟動項(xiàng)目，訪問 ??/hello?? 接口，就需要登錄之后才可以訪問，登錄的用戶名是 user，密碼則是隨機(jī)生成的，在項(xiàng)目的啟動日志中。

現(xiàn)在我們的第一個(gè)需求是使用自定義的用戶，而不是系統(tǒng)默認(rèn)提供的，這個(gè)簡單，我們只需要向 Spring 容器中注冊一個(gè) UserDetailsService 的實(shí)例即可，像下面這樣：

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一點(diǎn)雨").password("{noop}123").roles("admin").build());
        return users;
    }

}

這就可以了。

當(dāng)然我現(xiàn)在的用戶是存在內(nèi)存中的，如果你的用戶是存在數(shù)據(jù)庫中，那么只需要提供 UserDetailsService 接口的實(shí)現(xiàn)類并注入 Spring 容器即可，這個(gè)之前在 vhr 視頻中講過多次了（公號后臺回復(fù) 666 有視頻介紹），這里就不再贅述了。

但是假如說我希望 ??/hello??? 這個(gè)接口能夠匿名訪問，并且我希望這個(gè)匿名訪問還不經(jīng)過 Spring Security 過濾器鏈，要是在以前，我們可以重寫 ??configure(WebSecurity)?? 方法進(jìn)行配置，但是現(xiàn)在，得換一種玩法：

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一點(diǎn)雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    WebSecurityCustomizer webSecurityCustomizer() {
        return new WebSecurityCustomizer() {
            @Override
            public void customize(WebSecurity web) {
                web.ignoring().antMatchers("/hello");
            }
        };
    }

}

以前位于 ??configure(WebSecurity)?? 方法中的內(nèi)容，現(xiàn)在位于 WebSecurityCustomizer Bean 中，該配置的東西寫在這里就可以了。

那如果我還希望對登錄頁面，參數(shù)等，進(jìn)行定制呢？繼續(xù)往下看：

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一點(diǎn)雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    SecurityFilterChain securityFilterChain() {
        List filters = new ArrayList<>();
        return new DefaultSecurityFilterChain(new AntPathRequestMatcher("/**"), filters);
    }

}

Spring Security 的底層實(shí)際上就是一堆過濾器，所以我們之前在 configure(HttpSecurity) 方法中的配置，實(shí)際上就是配置過濾器鏈?，F(xiàn)在過濾器鏈的配置，我們通過提供一個(gè) SecurityFilterChain Bean 來配置過濾器鏈，SecurityFilterChain 是一個(gè)接口，這個(gè)接口只有一個(gè)實(shí)現(xiàn)類 DefaultSecurityFilterChain，構(gòu)建 DefaultSecurityFilterChain 的第一個(gè)參數(shù)是攔截規(guī)則，也就是哪些路徑需要攔截，第二個(gè)參數(shù)則是過濾器鏈，這里我給了一個(gè)空集合，也就是我們的 Spring Security 會攔截下所有的請求，然后在一個(gè)空集合中走一圈就結(jié)束了，相當(dāng)于不攔截任何請求。

此時(shí)重啟項(xiàng)目，你會發(fā)現(xiàn) ??/hello?? 也是可以直接訪問的，就是因?yàn)檫@個(gè)路徑不經(jīng)過任何過濾器。

其實(shí)我覺得目前這中新寫法比以前老的寫法更直觀，更容易讓大家理解到 Spring Security 底層的過濾器鏈工作機(jī)制。

有小伙伴會說，這寫法跟我以前寫的也不一樣呀！這么配置，我也不知道 Spring Security 中有哪些過濾器，其實(shí)，換一個(gè)寫法，我們就可以將這個(gè)配置成以前那種樣子：

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        users.createUser(User.withUsername("javaboy").password("{noop}123").roles("admin").build());
        users.createUser(User.withUsername("江南一點(diǎn)雨").password("{noop}123").roles("admin").build());
        return users;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
        return http.build();
    }

}

這么寫，就跟以前的寫法其實(shí)沒啥大的差別了。

好啦，多余的廢話我就不多說了，小伙伴們可以去試試 Spring Boot2.7 的最新玩法啦～

文章題目：進(jìn)入SpringBoot2.7，有一個(gè)重要的類過期了
分享鏈接：http://fisionsoft.com.cn/article/djiijch.html

新聞中心

其他資訊