|
对于最新的稳定版本,请使用 Spring Security 6.5.3! |
配置迁移
以下步骤与有关如何配置的更改有关HttpSecurity,WebSecurity和相关组件。
使用 Lambda DSL
Lambda DSL 自 5.2 版起就存在于 Spring Security 中,它允许使用 lambda 配置 HTTP 安全性。
您可能已经在 Spring Security 文档或示例中看到过这种配置样式。 让我们看看 HTTP 安全的 lambda 配置与之前的配置样式相比如何。
使用 lambda 进行配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/blog/**").permitAll()
.anyRequest().authenticated()
)
.formLogin(formLogin -> formLogin
.loginPage("/login")
.permitAll()
)
.rememberMe(Customizer.withDefaults());
return http.build();
}
}不使用 lambda 的等效配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests()
.requestMatchers("/blog/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.rememberMe();
return http.build();
}
}Lambda DSL 是配置 Spring Security 的首选方式,先前的配置样式在需要使用 Lambda DSL 的 Spring Security 7 中无效。 这样做主要有几个原因:
-
在以前的方式中,在不知道返回类型是什么的情况下,不清楚配置了哪个对象。 嵌套越深,就越混乱。 即使是有经验的用户也会认为他们的配置在做一件事,而实际上,它正在做其他事情。
-
一致性。 许多代码库在两种样式之间切换,这导致了不一致,使理解配置变得困难,并且经常导致配置错误。
Lambda DSL 配置提示
比较上述两个示例时,您会注意到一些关键差异:
-
在 Lambda DSL 中,无需使用
.and()方法。 这HttpSecurity实例在调用 Lambda 方法后自动返回以进行进一步配置。 -
Customizer.withDefaults()使用 Spring Security 提供的默认值启用安全功能。 这是 lambda 表达式的快捷方式it → {}.
WebFlux 安全
您也可以以类似的方式使用 lambda 配置 WebFlux 安全性。 下面是使用 lambda 的示例配置。
使用 lambda 的 WebFlux 配置
@Configuration
@EnableWebFluxSecurity
public class SecurityConfig {
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
.authorizeExchange(exchanges -> exchanges
.pathMatchers("/blog/**").permitAll()
.anyExchange().authenticated()
)
.httpBasic(Customizer.withDefaults())
.formLogin(formLogin -> formLogin
.loginPage("/login")
);
return http.build();
}
}