对于最新的稳定版本，请使用 Spring Security 6.5.0！spring-doc.cadn.net.cn

Java 配置

在 Spring 3.1 中，Spring Framework 中添加了对 Java 配置的一般支持。从 Spring Security 3.2 开始，就有了 Spring Security Java 配置支持，这使用户无需使用任何 XML 即可轻松配置 Spring Security。spring-doc.cadn.net.cn

如果您熟悉 Security Namespace Configuration，那么您应该会发现它与 Security Java Configuration 支持之间有很多相似之处。spring-doc.cadn.net.cn

Spring Security 提供了许多示例应用程序，这些应用程序演示了 Spring Security Java Configuration 的使用。

Hello Web Security Java 配置

第一步是创建我们的 Spring Security Java 配置。该配置将创建一个称为springSecurityFilterChain它负责应用程序中的所有安全性（保护应用程序 URL、验证提交的用户名和密码、重定向到登录表单等）。您可以在下面找到 Spring Security Java 配置的最基本示例：spring-doc.cadn.net.cn

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;

@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public UserDetailsService userDetailsService() {
		InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
		manager.createUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER").build());
		return manager;
	}
}

这种配置确实没有太多内容，但它做了很多事情。您可以在下面找到功能摘要：spring-doc.cadn.net.cn

要求对应用程序中的每个 URL 进行身份验证spring-doc.cadn.net.cn
为您生成登录表单spring-doc.cadn.net.cn
允许具有 Username user （用户名）用户和 Password password （密码）的用户使用基于表单的身份验证进行身份验证spring-doc.cadn.net.cn
允许用户注销spring-doc.cadn.net.cn
CSRF 攻击预防spring-doc.cadn.net.cn
Session Fixation 保护spring-doc.cadn.net.cn
安全标头集成spring-doc.cadn.net.cn
- 用于安全请求的 HTTP 严格传输安全性 spring-doc.cadn.net.cn
- X-Content-Type-Options 集成spring-doc.cadn.net.cn
- 缓存控制（稍后可由应用程序覆盖，以允许缓存静态资源）spring-doc.cadn.net.cn
- X-XSS-Protection 集成spring-doc.cadn.net.cn
- X-Frame-Options 集成有助于防止点击劫持 spring-doc.cadn.net.cn
与以下 Servlet API 方法集成spring-doc.cadn.net.cn

AbstractSecurityWebApplicationInitializer

下一步是注册springSecurityFilterChain与战争。这可以在 Java 配置中完成，在 Servlet 3.0+ 环境中使用 Spring 的WebApplicationInitializer支持。毫不奇怪， Spring Security 提供了一个 Base ClassAbstractSecurityWebApplicationInitializer这将确保springSecurityFilterChain为您注册。我们使用AbstractSecurityWebApplicationInitializer根据我们是否已经在使用 Spring，或者 Spring Security 是否是我们应用程序中唯一的 Spring 组件而有所不同。spring-doc.cadn.net.cn

AbstractSecurityWebApplicationInitializer without Existing Spring - 如果您尚未使用 Spring，请使用这些说明spring-doc.cadn.net.cn
AbstractSecurityWebApplicationInitializer 与 Spring MVC - 如果您已经在使用 Spring，请使用这些说明spring-doc.cadn.net.cn

没有现有 Spring 的 AbstractSecurityWebApplicationInitializer

如果您不使用 Spring 或 Spring MVC，则需要传入WebSecurityConfig添加到 superclass 中，以确保获取配置。您可以在下面找到一个示例：spring-doc.cadn.net.cn

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
	extends AbstractSecurityWebApplicationInitializer {

	public SecurityWebApplicationInitializer() {
		super(WebSecurityConfig.class);
	}
}

这SecurityWebApplicationInitializer将执行以下作：spring-doc.cadn.net.cn

为应用程序中的每个 URL 自动注册 springSecurityFilterChain Filterspring-doc.cadn.net.cn
添加加载 WebSecurityConfig 的 ContextLoaderListener。spring-doc.cadn.net.cn

使用 Spring MVC 的 AbstractSecurityWebApplicationInitializer

如果我们在应用程序中的其他位置使用 Spring，则可能已经有一个WebApplicationInitializer即加载我们的 Spring Configuration。如果我们使用以前的配置，则会收到错误。相反，我们应该使用现有的ApplicationContext. 例如，如果我们使用 Spring MVC，则SecurityWebApplicationInitializer将如下所示：spring-doc.cadn.net.cn

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
	extends AbstractSecurityWebApplicationInitializer {

}

这将仅为应用程序中的每个 URL 注册springSecurityFilterChain Filter。之后，我们将确保WebSecurityConfig加载到我们现有的 ApplicationInitializer 中。例如，如果我们使用的是 Spring MVC，它将添加到getServletConfigClasses()spring-doc.cadn.net.cn

public class MvcWebApplicationInitializer extends
		AbstractAnnotationConfigDispatcherServletInitializer {

	@Override
	protected Class<?>[] getServletConfigClasses() {
		return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
	}

	// ... other overrides ...
}

这样做的原因是 Spring Security 需要能够检查一些 Spring MVC 配置，以便适当地配置底层请求匹配器，因此它们需要位于相同的应用程序上下文中。将 Spring Security 置于getRootConfigClasses将其放入可能无法找到 Spring MVC 的HandlerMappingIntrospector.spring-doc.cadn.net.cn

配置多个 Spring MVC 调度器

如果需要，任何与 Spring MVC 无关的 Spring Security 配置都可以放置在不同的配置类中，如下所示：spring-doc.cadn.net.cn

public class MvcWebApplicationInitializer extends
		AbstractAnnotationConfigDispatcherServletInitializer {

	@Override
    protected Class<?>[] getRootConfigClasses() {
		return new Class[] { NonWebSecurityConfig.class };
    }

	@Override
	protected Class<?>[] getServletConfigClasses() {
		return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
	}

	// ... other overrides ...
}

如果您有多个AbstractAnnotationConfigDispatcherServletInitializer并且不想在两者之间复制常规安全配置。spring-doc.cadn.net.cn

HttpSecurity 安全

到目前为止，我们的 WebSecurityConfig 仅包含有关如何验证用户的信息。 Spring Security 如何知道我们要要求所有用户都经过身份验证？ Spring Security 如何知道我们想要支持基于表单的身份验证？实际上，在后台调用了一个名为SecurityFilterChain. 它使用以下默认实现进行配置：spring-doc.cadn.net.cn

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http
		.authorizeRequests(authorize -> authorize
			.anyRequest().authenticated()
		)
		.formLogin(withDefaults())
		.httpBasic(withDefaults());
	return http.build();
}

上面的默认配置：spring-doc.cadn.net.cn

确保对我们的应用程序的任何请求都需要对用户进行身份验证spring-doc.cadn.net.cn
允许用户使用基于表单的登录进行身份验证spring-doc.cadn.net.cn
允许用户使用 HTTP 基本身份验证进行身份验证spring-doc.cadn.net.cn

您将注意到，此配置与 XML Namespace 配置非常相似：spring-doc.cadn.net.cn

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>

多个 HttpSecurity

我们可以配置多个HttpSecurity实例，就像我们可以有多个<http>块。关键是要注册多个SecurityFilterChain @Beans. 例如，下面是一个示例，其中 URL 的 URL 以/api/.spring-doc.cadn.net.cn

@EnableWebSecurity
public class MultiHttpSecurityConfig {
	@Bean                                                             (1)
	public UserDetailsService userDetailsService() throws Exception {
		// ensure the passwords are encoded properly
		UserBuilder users = User.withDefaultPasswordEncoder();
		InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
		manager.createUser(users.username("user").password("password").roles("USER").build());
		manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build());
		return manager;
	}

	@Bean
	@Order(1)                                                        (2)
	public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
		http
			.antMatcher("/api/**")                                   (3)
			.authorizeHttpRequests(authorize -> authorize
				.anyRequest().hasRole("ADMIN")
			)
			.httpBasic(withDefaults());
		return http.build();
	}

	@Bean                                                            (4)
	public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests(authorize -> authorize
				.anyRequest().authenticated()
			)
			.formLogin(withDefaults());
		return http.build();
	}
}

1	正常配置 Authentication
2	注册`SecurityFilterChain`包含`@Order`以指定`SecurityFilterChain`应首先考虑。
3	这`http.antMatcher`声明此`HttpSecurity`将仅适用于以`/api/`
4	注册另一个`SecurityFilterChain`. 如果 URL 不以`/api/`将使用此配置。此配置在`apiFilterChain`由于它有一个`@Order`值`1`（否`@Order`默认为 last）。

自定义 DSL

您可以在 Spring Security 中提供自己的自定义 DSL。例如，您可能有如下所示的内容：spring-doc.cadn.net.cn

public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
	private boolean flag;

	@Override
	public void init(HttpSecurity http) throws Exception {
		// any method that adds another configurer
		// must be done in the init method
		http.csrf().disable();
	}

	@Override
	public void configure(HttpSecurity http) throws Exception {
		ApplicationContext context = http.getSharedObject(ApplicationContext.class);

		// here we lookup from the ApplicationContext. You can also just create a new instance.
		MyFilter myFilter = context.getBean(MyFilter.class);
		myFilter.setFlag(flag);
		http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
	}

	public MyCustomDsl flag(boolean value) {
		this.flag = value;
		return this;
	}

	public static MyCustomDsl customDsl() {
		return new MyCustomDsl();
	}
}

这实际上是像HttpSecurity.authorizeRequests()已实现。

然后，可以像这样使用自定义 DSL：spring-doc.cadn.net.cn

@EnableWebSecurity
public class Config {
	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			.apply(customDsl())
				.flag(true)
				.and()
			...;
		return http.build();
	}
}

代码按以下顺序调用：spring-doc.cadn.net.cn

调用 'Config 的 configure 方法中的代码】spring-doc.cadn.net.cn
调用 'MyCustomDsl' init 方法中的代码spring-doc.cadn.net.cn
调用 'MyCustomDsl' configure 方法中的代码spring-doc.cadn.net.cn

如果需要，您可以添加MyCustomDsl自HttpSecurity默认情况下，使用SpringFactories. 例如，您将在名为META-INF/spring.factories包含以下内容：spring-doc.cadn.net.cn

元 INF/spring.factories

org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl

希望禁用 default 的用户可以显式执行此作。spring-doc.cadn.net.cn

@EnableWebSecurity
public class Config {
	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			.apply(customDsl()).disable()
			...;
		return http.build();
	}
}

后处理已配置的对象

Spring Security 的 Java 配置不会公开它配置的每个对象的每个属性。这简化了大多数用户的配置。毕竟，如果每个属性都公开了，用户就可以使用标准的 bean 配置。spring-doc.cadn.net.cn

虽然有充分的理由不直接公开每个属性，但用户可能仍需要更高级的配置选项。为了解决这个问题，Spring Security 引入了ObjectPostProcessor可用于修改或替换 Java 配置创建的许多 Object 实例。例如，如果要配置filterSecurityPublishAuthorizationSuccess属性FilterSecurityInterceptor您可以使用以下内容：spring-doc.cadn.net.cn

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http
		.authorizeRequests(authorize -> authorize
			.anyRequest().authenticated()
			.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
				public <O extends FilterSecurityInterceptor> O postProcess(
						O fsi) {
					fsi.setPublishAuthorizationSuccess(true);
					return fsi;
				}
			})
		);
	return http.build();
}