多个 @EnableGlobalMethodSecurity 注释

Question

如果多个配置类都有@EnableGlobalMethodSecurity注解，那么是使用一个而忽略一个？

在 Spring Boot 应用程序中，有两个 WebSecurityConfigurerAdapter 实例 - 一个带有 @EnableGlobalMethodSecurity(secured = true) 注释，另一个带有 @EnableGlobalMethodSecurity(prePostEnabled = true) 注释。但到目前为止，我无法让 @PreAuthorize 注释工作。只有一个注释我可以看到验证它正在被应用。 例如

@Configuration
@Order(Ordered.HIGHEST_PRECEDENCE)
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class FirstConfigurer extends WebSecurityConfigurerAdapter {
...

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class AnotherConfiguration extends WebSecurityConfigurerAdapter{
...

spring-security 是否支持使用@EnableGlobalMethodSecurity 注解的多个配置类？
有没有办法查看实际配置了什么？

Answer 1

我调试它（​​进入 springframework 源）以查看它正在加载什么以及按什么顺序。

我有一个类似的情况，我有一个配置 @EnableGlobalMethodSecurity(securedEnabled = true) 的库（我无法更改）。

我想使用@EnableGlobalMethodSecurity(prePostEnabled=true)

发生了什么是库配置被加载到我的配置上（只会使用最后一个加载的配置）

我尝试使用@Order(Ordered.LOWEST_PRECEDENCE) 和@EnableGlobalMethodSecurity(order = Ordered.HIGHEST_PRECEDENCE, ... 但没有效果。

我的解决方案是通过在我的配置中导入库配置来设置我想要的顺序，如下所示：

@Import(LibraryConfig.class)
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MyConfiguration extends GlobalMethodSecurityConfiguration {
    /* my code */
}

PLUS：我发现我的情况更加复杂，因为我使用的库不止一次配置@EnableGlobalMethodSecurity(securedEnabled = true)。 所以行为有点不同，为了强制使用我的配置，我必须重写这些方法的实现：

@Bean
public MethodSecurityMetadataSource methodSecurityMetadataSource() {
    return super.methodSecurityMetadataSource();
}

@Bean
public MethodInterceptor methodSecurityInterceptor() throws Exception {
    return super.methodSecurityInterceptor();
}

@Bean
public PreInvocationAuthorizationAdvice preInvocationAuthorizationAdvice() {
    return super.preInvocationAuthorizationAdvice();
}