WebSecurityConfigurerAdapter 被弃用的原因是 Spring Security 项目的维护者希望将项目的主要开发工作集中在新的配置方式上,即基于 Java 的配置(Java Configuration)和基于 Lambda 的表达式。这主要是因为 Spring 5.0 引入了重量级的 Java 配置支持,而 WebSecurityConfigurerAdapter 是基于 XML 的配置方式,并不完全兼容 Java 配置。
下面比较下新旧WebSecurity的写法区别
1、配置方式
1.1、旧:
在旧版的配置中,Security需要我们写一个类去继承他的WebSecurityConfigurerAdapter并把这个配置注入到容器中
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter{
.....
}
1.2、新
在新版中我们只需要在自定义的配置类头顶添加
@Configuration、@EnableWebSecurity 注解即可将你写的这个注入到IOC容器中。
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.TYPE)
@Documented
@Import({ WebSecurityConfiguration.class, SpringWebMvcImportSelector.class, OAuth2ImportSelector.class,
HttpSecurityConfiguration.class })
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
/**
* Controls debugging support for Spring Security. Default is false.
* @return if true, enables debug support with Spring Security
*/
boolean debug() default false;
}
从源码中我们可以看到内部以及实现了@Configuration注解,所有不需要我们手动注入IOC容器
2、自定义过滤器链
2.1、旧:
实现自定义过滤链需要重写configure(HttpSecurity http)方法
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.mvcMatchers("/login.html")
.permitAll()
.formLogin()
......
.csrf()
.disable();
}
2.2、新
在@EnableWebSecurity 注解内部,作者也对新版的Spring Security配置SecurityFilterChain进行了特别说明:
新版的实现方法不再和旧版一样在配置类里面重写方法,而是构建了一个过滤链对象并通过@Bean注解注入到IOC容器中:
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((auth) -> {
auth
.mvcMatchers("/user/login")
.permitAll()
.anyRequest()
.authenticated();
})
.formLogin()
......
.csrf()
.disable()
// 构建过滤链并返回
return http.build();
}
3、自定义数据源
先回顾下前面介绍的数据源的认证流程:
在整个认证流程中,我们在提交用户表单数据的时候,会先被AbstractAuthenticationProcessingFilte捕获到如何被封装为UsernamePasswordAuthenticationToken 的token 对象,然后将整个对象交给AuthenticationManager认证管理器去实现认证,而这个时候就会去数据源UserDetailService类中去进行对应的认证方式,认证成功返回UserDetails对象,否则返回null,所以我们这个时候目的就比较明确了,为实现自定义数据源,我们就需要去重新实现一个类继承自UserDetailsSerive类,然后将这个类交给AuthenticationManager认证管理器,这样我们在认证的时候,认证管理器就会使用我们自定义的数据源。
3.1、旧:
(1)首先去实现一个自定义实体类继承自UserDetails(注意:必须把这个类需要重写一些方法,这些方法都是给认证管理器去做一些工作的,这个User类还可以拥有一些其他的字段属性,比如说username,password…建议基于数据库中的User表来设置)
(2)然后是实现一个类继承UserDetailsService
(3)配置:WebSecurityConfigurationAdapter实现类里面,我们使用@Autowired注入我们刚刚写的LoginUserDetailService类使用 configure(AuthenticationManagerBuilder auth) 方法将这个实例交给AuthenticationManager
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
@Autowired
private LoginUserDetailService loginUserDetailService
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.mvcMatchers("/login.html")
.permitAll()
.formLogin()
......
.csrf()
.disable();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(loginUserDetailService);
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean()
throws Exception {
return super.authenticationManagerBean();
}
}
3.2、新
新版的比较简单,直接定义好数据源,注入就可以了,无需手动到配置类中去将它提交给AuthenticationManager进行管理。相比旧版,跳过了手动auth.userDetailsService(loginUserDetailService),新版底层会帮你执行这一步
@Component
public class LoginUserDetailService implements UserDetailsService {
private final UserMapper userMapper;
@Autowired
public LoginUserDetailService(UserMapper userMapper, RoleMapper roleMapper) {
this.userMapper = userMapper;
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 数据查询
userMapper.方法
return user;
}
}
4、其他:
新版也是通过@Bean的方式自定义。
