Spring Security 配置多WebSecurityConfigurerAdapter

原創 原创 2021-01-30 09:15

Spring Security多入口

官方为了方便演示使用的是一个主类,两个内部类来实现的多入口,下面的例子将其拆分为两个配置类,两个用户方便理解.

配置

@Configuration
public class FormSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public static PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().disable()
                .csrf().disable()
                .authorizeRequests().antMatchers("/form/**")
                .hasRole("USER")
                .and()
                .formLogin().successForwardUrl("/form/index");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user")
                .password(passwordEncoder().encode("user"))
                .roles("USER");
    }
}

说明:

  • 上面的配置为系统指定了user为默认用户,拥有USER权限,
  • 指定以form起始的路径需要校验USER权限
  • 增加formLogin,指定/form/index为登陆成功指向的页面
@Order(1)
@Configuration
public class BasicSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .antMatcher("/basic/**")
                .authorizeRequests().anyRequest()
                .hasRole("BASIC")
                .and()
                .httpBasic();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("basic")
                .password(passwordEncoder.encode("basic"))
                .roles("BASIC");
    }
}

说明:

  • 使用@Order(1)指定了加载顺序
  • 上面的配置为系统指定了basic为默认用户,拥有BASIC权限,
  • 指定以basic起始的路径需要校验BASIC权限
  • 增加httpBasic验证

注意事项

  1. HttpSecurity配置以authorizeRequests为起始表示针对所有请求路径
  2. HttpSecurity配置以antMatcher("/basic/**")为新增一个入口
  3. FormSecurityConfig 未写@Order继承WebSecurityConfigurerAdapter中注解序号为100
  4. 由于formLogin会增加默认登陆页过滤器/login所以不能使用其它路径作为起始,否则会导致默认登录页不生效
  5. 如果authorizeRequests加载顺序靠前会导致后续配置的antMatcher对应的路径失效.

相关代码

https://gitee.com/MeiJM/spring-cram/tree/master/customSecurity

参考资料

https://docs.spring.io/spring-security/site/docs/5.4.1/reference/html5/#multiple-httpsecurity

https://www.baeldung.com/spring-security-multiple-entry-points

https://github.com/spring-projects/spring-security/issues/5593

https://github.com/mageddo/java-examples/blob/6a7dd2b/spring-security/basic-and-form-auth-together/src/main/java/com/mageddo/springsecurity/SecurityConfig.java

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java开发必读,谈谈对Spring IOC与AOP的理解

本文分享自華爲雲社區《超詳細的Java後臺開發面試題之Spring IOC與AOP》,作者:GaussDB 數據庫。 一、前言 IOC和AOP是Spring中的兩個核心的概念,下面談談對這兩個概念的理解。 二、IOC(Inverse o

原創 2024-06-07 22:57:21

一文搞懂 Spring 循环依赖

這個其實是一個特別高頻的面試題,松哥也一直很想和大家仔細來聊一聊這個話題,網上關於這塊的文章很多,但是我一直覺得要把這個問題講清楚還有點難度,今天我來試一試,看能不能和小夥伴們把這個問題梳理清楚,當然,如果小夥伴們覺得看文章不過癮,松哥也有

原創 2024-06-06 13:11:47

从缺陷到创新:质量保障的新视角

1.背景: 最近一段時間研發大佬們在積極的治理告警,經過一段時間的治理,現在告警情況已經有了很大的改觀,但難免還有漏網之魚;具體我們可以以下邊一個例子來看: 這是一個生產的UMP告警,通過這個告警我們發現XXX這個應用的堆內存使用率

原創 2024-06-07 23:55:01

CI+GPT双引擎驱动,开启AI代码评审新纪元

一. 現狀問題 代碼評審 Code Review 是提高代碼質量、促進團隊合作、知識間共享的關鍵環節,對於系統代碼質量和穩定性都至關重要。 【人爲代碼評審(Code Review)】存在很多弊端 時間消耗大:代碼評審是一

京東雲開發者 2024-06-07 23:54:54

Junit4遇上chatGPT

這是一篇適合Java工程師體質的AI開發教程。 本教程會教你寫一個簡單的junit4的Rule,該Rule在基於junit4的測試方法失敗後,自動向GPT發送錯誤信息並通過GPT分析得出代碼修改建議。 首先向AI問好 簡單的通過AI,讓它

原創 2024-06-06 23:55:13

营销系统黑名单优化:位图的应用解析

背景 營銷系統中,客戶投訴是業務發展的一大阻礙,一般會過濾掉黑名單高風險賬號,並配合頻控策略,來減少客訴,進而增加營銷效率,減少營銷成本,提升營銷質量。 營銷系統一般是通過大數據分析建模,在CDP(客戶數據平臺,以客戶爲核心,圍繞數據融

京東雲開發者 2024-06-06 11:54:12

基于阿里云服务网格流量泳道的全链路流量管理(三):无侵入式的宽松模式泳道

作者:尹航 在前文《基於阿里雲服務網格流量泳道的全鏈路流量管理(一):嚴格模式流量泳道》、《基於阿里雲服務網格流量泳道的全鏈路流量管理(二):寬鬆模式流量泳道》中,我們介紹了流量泳道的概念、使用流量泳道進行全鏈路灰度管理的方案,以及阿里雲服

原創 2024-06-05 21:13:51

iLogtail 2.0 重大升级,端上支持 SPL

作者:太業 流式處理語言發展 早期流式處理概念: 20 世紀 70 年代,編程語言如 APL 提供了對數組的流式操作,這可以看作是流式處理語法的早期形式。 管道(Pipes)概念在 UNIX 系統中的引進使得可以通過命令行將一個命令的

原創 2024-06-05 21:13:43

Java日志通关(四) - Logback 介绍

一、配置入口 Logback支持XML、Groovy的配置方式,以XML來說,它會默認查找resources目錄下的logback-test.xml(用於測試)/logback.xml文件。 而如果你使用的Spring Boot,那麼你還可

夜黑人模糊灬 2024-06-06 13:45:20

什么时候需要用到 @EnableWebSecurity 注解?

有小夥伴在學習 Spring Security 的遇到一個問題: 箭頭所指的位置報紅,也就是 Spring 容器中沒有找到一個類型爲 HttpSecurity 的 Bean。 小夥伴說如果他在配置類上加 @EnableWebSecurit

原創 2024-06-05 13:11:40

MySQL 核心模块揭秘 * 19 期 * 锁模块里有什么?什么样?

InnoDB 中管理表鎖和行鎖的鎖模塊,也就是傳說中的鎖子系統,在內存裏是什麼樣的? 作者:操盛春,愛可生技術專家,公衆號『一樹一溪』作者,專注於研究 MySQL 和 OceanBase 源碼。 愛可生開源社區出品,原創內容未經授權不得隨

原創 2024-06-06 11:58:40

原来 pt-osc 改表是这样实现的!原理详解【附场景案例】

pt-osc原理探索及其觸發器的深入分析 > 作者:莫善,某互聯網公司高級 DBA。 > > 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註明來源。 > > 本文約 6000 字,預計閱讀需要 20 分鐘。 背景 自工

原創 2024-06-06 11:58:38

导入地址表钩取技术解析

前置知識 導入表 在一個可執行文件需要用到其餘DLL文件中的函數時,就需要用到導入表,用於記錄需要引用的函數。例如我們編寫的可執行文件需要用到CreateProcess函數,就需要用到kernel32.dll文件並且將其中的Create

原創 2024-06-06 11:14:53

计算机英文教材太难啃?Higress 和通义千问帮你!

作者:張添翼(澄潭) 計算機相關英文教材的中譯本質量堪憂,對於計算機專業的學生來說,應該深有體會。因爲大部分教材的譯者本人可能未必完全喫透書中技術內容,又或者是領域技術大拿,但並不擅長英文翻譯。 本文將介紹基於 AI 大語言模型進行英文技術

原創 2024-06-05 21:13:50

云原生时代:从 Jenkins 到 Argo Workflows,构建高效 CI Pipeline

作者:蔡靖 Argo Workflows Argo Workflows [ 1] 是用於在 Kubernetes 上編排 Job 的開源的雲原生工作流引擎。可以輕鬆自動化和管理 Kubernetes 上的複雜工作流程。適用於各種場景,包括定

原創 2024-06-05 21:13:46