首页
/ Spring Security API参考:WebSecurityConfigurerAdapter使用

Spring Security API参考:WebSecurityConfigurerAdapter使用

2026-02-05 04:49:55作者:廉皓灿Ida
spring-security
Spring Security
项目地址:https://gitcode.com/gh_mirrors/spr/spring-security

1. 概述

WebSecurityConfigurerAdapter是Spring Security框架中用于配置Web安全的适配器类(Adapter Class),它实现了WebSecurityConfigurer接口,为开发者提供了一种便捷的方式来定制HTTP请求的安全规则、用户认证(Authentication)和授权(Authorization)机制。在Spring Security 5.7.0之前的版本中,这是配置Web安全的主要方式,尽管在新版本中已推荐使用组件式配置(SecurityFilterChain Bean),但了解其使用方法对于维护旧项目仍具有重要意义。

2. 核心功能与继承关系

2.1 类定义与继承结构

WebSecurityConfigurerAdapter位于org.springframework.security.config.annotation.web.configuration包下,其核心定义如下(伪代码):

public abstract class WebSecurityConfigurerAdapter 
    implements WebSecurityConfigurer<WebSecurity> {
    
    // 提供默认的安全配置实现
    protected void configure(HttpSecurity http) throws Exception {
        // 默认配置逻辑
    }
    
    // 配置用户认证信息
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 默认认证配置
    }
    
    // 配置WebSecurity(全局安全设置)
    public void configure(WebSecurity web) throws Exception {
        // 默认WebSecurity配置
    }
}

2.2 核心方法说明

方法签名 作用 调用时机
void configure(HttpSecurity http) 配置HTTP请求级别的安全规则,如URL授权、表单登录、CSRF保护等 每个HTTP请求处理前
void configure(AuthenticationManagerBuilder auth) 配置用户认证源,如内存用户、数据库用户、LDAP用户等 认证管理器初始化时
void configure(WebSecurity web) 配置全局安全忽略规则,如静态资源免认证访问 Spring容器启动时

3. 基本使用步骤

3.1 继承适配器类

创建自定义安全配置类,继承WebSecurityConfigurerAdapter并使用@EnableWebSecurity注解启用Web安全功能:

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // 重写配置方法
}

3.2 配置HTTP安全规则

通过重写configure(HttpSecurity http)方法定义URL访问权限、登录/登出行为等:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // 配置URL授权规则
        .authorizeRequests()
            .antMatchers("/", "/home").permitAll()  // 首页和主页允许所有用户访问
            .antMatchers("/admin/**").hasRole("ADMIN")  // /admin/**路径需要ADMIN角色
            .anyRequest().authenticated()  // 其他所有请求需要认证
            .and()
        // 配置表单登录
        .formLogin()
            .loginPage("/login")  // 自定义登录页面URL
            .defaultSuccessUrl("/dashboard", true)  // 登录成功后跳转页面
            .permitAll()  // 允许所有用户访问登录页面
            .and()
        // 配置登出
        .logout()
            .logoutUrl("/logout")  // 登出URL
            .logoutSuccessUrl("/login?logout")  // 登出成功后跳转页面
            .permitAll();
}

3.3 配置用户认证

通过重写configure(AuthenticationManagerBuilder auth)方法配置用户认证信息,支持多种数据源:

3.3.1 内存用户存储(适合开发环境)

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .withUser("user")
            .password("{noop}password123")  // {noop}表示不加密(仅用于演示)
            .roles("USER")
        .and()
        .withUser("admin")
            .password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")  // BCrypt加密密码
            .roles("ADMIN", "USER");
}

3.3.2 数据库用户存储(适合生产环境)

需配合UserDetailsService和密码编码器(PasswordEncoder)使用:

@Autowired
private UserDetailsService userDetailsService;

@Autowired
private PasswordEncoder passwordEncoder;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService)
        .passwordEncoder(passwordEncoder);
}

3.4 配置全局忽略规则

通过重写configure(WebSecurity web)方法排除静态资源(如CSS、JS、图片)的安全检查:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring()
        .antMatchers("/css/**", "/js/**", "/images/**", "/webjars/**");
}

4. 高级配置示例

4.1 集成Spring Boot时的完整配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // 注入自定义UserDetailsService
    @Autowired
    private CustomUserDetailsService userDetailsService;

    // 配置密码编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // 配置认证管理器
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder());
    }

    // 配置HTTP安全
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()  // 开发环境可临时禁用CSRF保护(生产环境强烈建议启用)
            .authorizeRequests()
                .antMatchers("/api/public").permitAll()
                .antMatchers("/api/user").hasRole("USER")
                .antMatchers("/api/admin").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginProcessingUrl("/login")
                .usernameParameter("username")
                .passwordParameter("password")
                .and()
            .logout()
                .logoutUrl("/logout")
                .deleteCookies("JSESSIONID");
    }
}

4.2 配置方法级安全

结合@EnableGlobalMethodSecurity注解实现方法级别的权限控制:

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration;

@EnableGlobalMethodSecurity(
    prePostEnabled = true,  // 启用@PreAuthorize和@PostAuthorize注解
    securedEnabled = true,  // 启用@Secured注解
    jsr250Enabled = true    // 启用JSR-250注解(如@RolesAllowed)
)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    // 无需额外配置,注解即可生效
}

在控制器方法中使用:

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AdminController {

    @PreAuthorize("hasRole('ADMIN') and #id > 0")
    @GetMapping("/admin/users/{id}")
    public String getUserById(Long id) {
        return "User info for ID: " + id;
    }
}

5. 版本兼容性与迁移指南

5.1 版本变更说明

Spring Security版本 WebSecurityConfigurerAdapter状态 推荐配置方式
5.6.x及之前 可用(默认配置方式) 继承WebSecurityConfigurerAdapter
5.7.0及之后 标记为@Deprecated(不推荐使用) 组件式配置(SecurityFilterChain Bean)
6.0.0及之后 完全移除 必须使用组件式配置

5.2 从WebSecurityConfigurerAdapter迁移到SecurityFilterChain

Spring Security 5.7+推荐使用组件式配置,通过定义SecurityFilterChain Bean替代继承适配器类:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll();
        return http.build();
    }
}

6. 常见问题与解决方案

6.1 密码加密与{noop}前缀问题

问题:直接使用明文密码时抛出java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"异常。

原因:Spring Security 5+默认要求所有密码必须使用加密存储,并通过前缀指定加密算法(如{bcrypt}、{noop}等)。

解决方案

  1. 开发环境临时使用{noop}前缀允许明文密码(不推荐生产环境):
    .withUser("user").password("{noop}password").roles("USER")
  2. 生产环境配置密码编码器:
    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

6.2 CSRF保护导致POST请求403错误

问题:启用CSRF保护时,前端表单提交POST请求返回403 Forbidden。

解决方案:在表单中添加CSRF令牌:

<form action="/login" method="post">
    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
    <input type="text" name="username" />
    <input type="password" name="password" />
    <button type="submit">登录</button>
</form>

6.3 静态资源被拦截问题

问题:CSS、JS等静态资源无法加载,浏览器控制台报403错误。

解决方案:通过WebSecurity配置忽略静态资源:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring()
        .antMatchers("/css/**", "/js/**", "/images/**");
}

7. 总结

WebSecurityConfigurerAdapter作为Spring Security历史上重要的配置方式,为开发者提供了直观的安全配置体验。尽管在新版本中已被组件式配置替代,但理解其设计思想和使用方法对于掌握Spring Security的核心原理仍至关重要。在实际项目中,应根据使用的Spring Security版本选择合适的配置方式,并始终遵循安全最佳实践(如密码加密、启用CSRF保护等)。

对于新开发的项目,强烈建议直接采用Spring Security 5.7+推荐的组件式配置(SecurityFilterChain Bean),以获得更好的灵活性和未来兼容性。

spring-security
Spring Security
项目地址:https://gitcode.com/gh_mirrors/spr/spring-security
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
27
11
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
569
3.84 K
pytorchpytorch
Ascend Extension for PyTorch
Python
379
453
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
893
676
flutter_flutterflutter_flutter
暂无简介
Dart
802
199
kernelkernel
openEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
350
203
MindSpeed-LLMMindSpeed-LLM
昇腾LLM分布式训练框架
Python
118
147
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
12
1
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
68
20
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.37 K
781