用的挺顺手的 Spring Security 配置类,居然就要被官方弃用了?
用过 WebSecurityConfigurerAdapter的都知道对 Spring Security 十分重要,总管 Spring Security 的配置体系。但是马上这个类要废了,你没有看错,这个类将在5.7版本被@Deprecated所标记了,未来这个类将被移除。
相关的issues已经被处理并关闭
对此对此网友大呼“学着学着就被弃用了”。既然马上要弃用了,总要有个过渡方案或者新玩法吧。
早在2021年3月份胖哥就写了一篇文章,把新玩法给明明白白说清楚了,如果你看了的话,肯定不会学废弃技术。这里把整套的替代方案再搞一遍,可别再学过时技术了。
旧玩法:
新玩法:
相关原理去看这一篇文章。
使用WebSecurity.ignoring()忽略某些URL请求,这些请求将被 Spring Security 忽略,这意味着这些URL将有受到 CSRF、XSS、Clickjacking 等攻击的可能。以下示例仅仅作为演示,请勿使用在生产环境。是不是又学到了呢?
旧玩法:
新玩法:
AuthenticationManager配置主要分为全局的(Global )、本地的(Local)。
旧玩法
上面是通过 WebSecurityConfigurerAdapter开启的是本地配置。开启全局配置需要覆写其authenticationManagerBean()方法并标记为Bean:
新玩法
本地配置通过 HttpSecurity.authenticationManager实现:
全局配置摆脱了依赖 WebSecurityConfigurerAdapter.authenticationManagerBean()方法,只需要定义一个AuthenticationManager类型的Bean即可:
当然还可以通过自定义 GlobalAuthenticationConfigurerAdapter并注入 Spring IoC 来修改 AuthenticationManagerBuilder,不限制数量,但是要注意有排序问题。相关的思维导图:
很多技术方案都不是直接更改的,是会有一个变化的过程,只要你紧追变化,其实也就没有变化。
