Spring Security XML 配置与 Java 配置

【问题标题】:Spring Security XML Config Vs Java ConfigSpring Security XML 配置与 Java 配置
【发布时间】:2016-10-24 12:51:54
【问题描述】:

我有 Spring Security 的 XML 配置,这是我通过大量指南完成的。 它应该拦截 url 并使用自定义过滤器通过 ldap 身份验证管理器提供身份验证。

所以这里是: 

   <http create-session="stateless" auto-config='false' use-expressions="true">
    <anonymous enabled="true"/>
    <intercept-url pattern="/index.html" access="permitAll()" method="GET"/>
    <intercept-url pattern="/login" access="permitAll()" method="GET"/>


    <custom-filter before="LAST" ref="statelessLoginFilter"/>
    <custom-filter before="PRE_AUTH_FILTER" ref="statelessAuthFilter"/>

    <intercept-url pattern="/one*" access="hasRole('ROLE_ONE')" method="GET"/>
    <intercept-url pattern="/two*" access="hasRole('ROLE_TWO')" method="GET"/>

    <!-- another intercept-url stuff -->

    <csrf disabled="true"/>

    <!-- authentication manager and stuff -->
</http>

现在我正在尝试用 Java Config 重写它。但我不知道如何在那里使用自定义过滤器。有 .addFilterBefore 但我不能只把 before="LAST" 或 before="PRE_AUTH_FILTER" 放在那里。因为没有这种东西。我该如何重写?

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
GenericFilterBean statelessAuthFilter;
@Autowired
AbstractAuthenticationProcessingFilter statelessLoginFilter;

public  SecurityConfig(){

}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers("/one**", "/two**").access("hasRole('ONE')")
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()

            .and()
            .addFilterBefore(statelessAuthFilter, GenericFilterBean.class)
            .addFilterBefore(statelessLoginFilter, BasicAuthenticationFilter.class)
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

            .and().anonymous()
            .and().csrf().disable();
}}

【问题讨论】:

    标签: java xml spring spring-mvc spring-security


    【解决方案1】:

    您必须确定特定的过滤器类别。

    例如,默认的 LAST 过滤器应该是 FilterSecurityInterceptor - Filter Ordering

    PRE_AUTH_FILTER 可以是扩展 AbstractPreAuthenticatedProcessingFilter 的任何内容,具体取决于您的配置。

    基本上,Java Config 会强制您在排序时明确说明,以避免以后出现令人讨厌的意外。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-11-19
      • 2017-03-03
      • 2017-07-17
      • 2014-02-25
      • 2015-07-22
      • 2018-07-24
      • 2017-01-21
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode