开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何灵活配置Spring WebSecurity

Spring WebSecurity是Spring框架中的一个模块，用于实现Web应用的安全认证和授权功能。它提供了一套灵活的配置方式，可以根据具体需求进行定制，以保护Web应用的资源和数据安全。

在灵活配置Spring WebSecurity时，可以按照以下步骤进行：

引入Spring Security依赖：在项目的构建文件中，添加Spring Security的依赖，例如使用Maven的话，在pom.xml文件中添加以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

创建WebSecurity配置类：在项目中创建一个继承自WebSecurityConfigurerAdapter的配置类，用于配置Spring WebSecurity的行为。可以通过重写configure方法来进行配置。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置安全规则
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 配置用户认证
        auth
            .inMemoryAuthentication()
                .withUser("user")
                .password("{noop}password")
                .roles("USER");
    }
}

上述示例中，configure方法配置了安全规则，指定了哪些URL需要进行认证，哪些URL可以匿名访问。configure方法还配置了用户认证，使用了内存中的用户进行简单认证。

配置其他安全相关的功能：除了基本的安全规则和用户认证外，还可以配置其他安全相关的功能，例如跨域资源共享（CORS）、CSRF保护、会话管理等。可以通过在WebSecurityConfig类中添加其他配置方法来实现。
配置Spring Security与其他组件的集成：根据具体需求，可以配置Spring Security与其他组件的集成，例如与Spring Boot Actuator集成，实现监控和管理功能。

总结起来，灵活配置Spring WebSecurity的步骤包括引入依赖、创建配置类、配置安全规则和用户认证、配置其他安全相关功能，以及配置与其他组件的集成。通过灵活配置，可以根据实际需求来保护Web应用的安全性。

腾讯云相关产品和产品介绍链接地址：

相关搜索:使用.ignoring()的Spring WebSecurity配置不起作用 Spring的WebSecurity‘忽略’仍在创建会话 Spring WebSecurity PermitAll不适用于特定URL Spring 2 WebSecurity不同的授权没有按预期工作使用WebSecurity的Spring Boot应用程序看不到css spring配置 Spring:配置在spring boot中定义灵活的应用程序配置的更优雅的方式如何在用作go库时启用krakenD的灵活配置 spring hbase 配置 spring配置mysql Spring mvcresource配置 Thymeleaf Spring配置 Spring配置uri Spring外部配置 Spring JTA配置 - 如何设置TransactionManager？如何使用spring boot配置hibernate 如何通过Spring Cloud Config for Postgresql 10.1 (Spring Data)配置Spring数据？Spring batch with Spring boot -配置JobRepositoryFactoryBean Spring Cloud契约应该是具体的还是灵活的？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security 实战干货：自定义配置类入口WebSecurityConfigurerAdapter

今天我们要进一步的的学习如何自定义配置 Spring Security 我们已经多次提到了 WebSecurityConfigurerAdapter ，而且我们知道 Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurityConfiguration 来配置的。所以我们就拿它开刀。如果还是一头雾水建议通过 https://felord.cn 查看 Spring Security 实战。

03

Spring Security 实战：Spring Boot 下的自动配置

我们在前几篇对 Spring Security 的用户信息管理机制，密码机制进行了探讨。没有看的同学可通过 https://felord.cn 获取。我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE（当前 Spring Boot 版本为2.1.9.RELEASE）模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找到。今天我们进一步来解密 Spring Security 在 Spring Boot 的配置和使用。

03

Spring Security 初始化流程梳理

前面我们对 Spring Security 源码的讲解都比较零散，今天松哥试着来和大家捋一遍 Spring Security 的初始化流程，顺便将前面的源码解析文章串起来。

03

Spring Security 实战干货：WebSecurity和HttpSecurity的关系

前几天有粉丝私信我：WebSecurity和HttpSecurity啥关系？当时给我问住了，我大概只知道它们之间的关系类似TypeScript和JavaScript的关系，但是具体的细节确实不太清楚。因此就在周末简单研究了一下。

05

深入理解 WebSecurityConfigurerAdapter【源码篇】

我们继续来撸 Spring Security 源码，今天来撸一个非常重要的 WebSecurityConfigurerAdapter。

03

进入 SpringBoot2.7，有一个重要的类过期了

松哥最近正在录制 TienChin 项目视频～采用 Spring Boot+Vue3 技术栈，里边会涉及到各种好玩的技术，小伙伴们来和松哥一起做一个完成率超 90% 的项目，戳戳戳这里-->TienChin 项目配套视频来啦。今天来聊一个简单的话题～是一个小伙伴在星球上的提问。 ---- 进入到 SpringBoot2.7 时代，有小伙伴发现有一个常用的类忽然过期了：在 Spring Security 时代，这个类可太重要了。过期的类当然可以继续使用，但是你要是决定别扭，只需要稍微看一下注释，基本上就

01

Spring Security即将弃用配置类WebSecurityConfigurerAdapter

用过WebSecurityConfigurerAdapter的都知道对Spring Security十分重要，总管Spring Security的配置体系。但是马上这个类要废了，你没有看错，这个类将在5.7版本被@Deprecated所标记了，未来这个类将被移除。

04

springsecurity oauth2sso 客户端单点登陆

依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> 配置 websecurity @Configuration @EnableWebSecurity @EnableOAuth2Sso public class WebSecurityConfig extends WebSecuri

03

多个WebSecurityJAVA配置导致csrf().disable()配置失效

存在两个继承WebSecurityConfigurerAdapter的WebSecurity JAVA配置文件,一个配置了http.csrf().disable(),一个没有配置,请求仍然报错Invalid CSRF token found

02

Spring Security(六)—SpringSecurityFilterChain加载流程深度解析

SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位，每个请求到来，都会经过该过滤器链，前文《Spring Security(四)--核心过滤器源码分析》中我们分析了 SpringSecurityFilterChain 的构成，但还有很多疑问可能没有解开：

03

神奇！自己 new 出来的对象一样也可以被 Spring 容器管理！

松哥原创的 Spring Boot 视频教程已经杀青，感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程

02

Spring Security 启动

Spring Security的启动入口类 package org.springframework.security.config.annotation.web.configuration; import java.util.Collections; import java.util.List; import java.util.Map; import javax.servlet.Filter; import org.springframework.beans.factory.BeanClassLo

03

如何利用自定义注解放行SpringSecurity项目的接口

在实际项目中使用到了springsecurity作为安全框架，我们会遇到需要放行一些接口，使其能匿名访问的业务需求。但是每当需要当需要放行时，都需要在security的配置类中进行修改，感觉非常的不优雅。

02

使用Nacos做为SpringCloud和Dubbo的共同注册中心

【转载请注明出处】：https://cloud.tencent.com/developer/article/1643353

00

Spring Security 简单配置用户存储

@EnableWebSecurity注解将会启动Web安全功能，但它本身并没有什么功能。Spring Security必须配置在一个实现了WebSecurityConfigurer的bean中，或者扩展WebSecurityConfigurerAdapter，扩展该类是最简单的配置方法。

02

如何利用自定义注解放行 Spring Security 项目的接口

在实际项目中使用到了springsecurity作为安全框架，我们会遇到需要放行一些接口，使其能匿名访问的业务需求。但是每当需要当需要放行时，都需要在security的配置类中进行修改，感觉非常的不优雅。例如这样：图片所以想通过自定义一个注解，来进行接口匿名访问。在实现需求前，我们先了解一下security的两种方行思路。第一种就是在 configure(WebSecurity web)方法中配置放行，像下面这样： @Override public void configure(WebSecuri

03

springboot系列学习（二十四）：springboot项目里面整合spring Security框架。一步一步带你整合使用，小白必看（一）

我们的一个普通项目，没有安全的限制也是可以使用的，但是在公司里面，安全就是必须的，不是说非要使用安全框架springsecurity框架。之前我们学过的过滤器，拦截器也是可以实现一定的项目的安全。

04

SpringSecurity是如何玩弄过滤器链的

本文适合在对SpringSecurity有基本认识，并且会基础使用的，想要进阶研究源码的小伙伴。

03

Springsecurity搭建自定义登录页面

WebSecurityConfigurerAdapter是security中浏览器登录设置的主类这里我们继承后重写以下的三个方法:

03

Spring Security 两种资源放行策略，千万别用错了！

就是他使用 Spring Security 做用户登录，等成功后，结果无法获取到登录用户信息，松哥之前写过相关的文章（奇怪，Spring Security 登录成功后总是获取不到登录用户信息？），但是他似乎没有看懂。考虑到这是一个非常常见的问题，因此我想今天换个角度再来和大伙聊一聊这个话题。

05

Spring Security 6.x 过滤器链SecurityFilterChain是如何工作的

上一篇主要介绍了Spring Secuirty中的过滤器链SecurityFilterChain是如何配置的，那么在配置完成之后，SecurityFilterChain是如何在应用程序中调用各个Filter，从而起到安全防护的作用，本文主要围绕SecurityFilterChain的工作原理做详细的介绍。

02

解决spring security与corsFilter冲突的问题

在spring mvc项目中，使用了corsFilter进行跨域配置，相关代码如下：

03

linux切换java版本_java_home environment variable

官方文档：https://docs.spring.io/spring-security/site/docs/5.0.3.RELEASE/reference/htmlsingle/#hello-web-security-java-configuration

03

源码剖析 Spring Security 的实现原理

Spring Security 是一个轻量级的安全框架，可以和 Spring 项目很好地集成，提供了丰富的身份认证和授权相关的功能，而且还能防止一些常见的网络攻击。

01

Spring Security 实战干货：如何实现不同的接口不同的安全策略

欢迎阅读 Spring Security 实战干货系列文章。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目，涉及两种风格，一种是给小程序出接口，安全上使用无状态的JWT Token；另一种是管理后台使用的是Freemarker，也就是前后端不分离的Session机制。用Spring Security该怎么办？

01

微服务架构Day13-SpringBoot之安全

安全框架 shiro Spring Security 应用程序的两个主要区域:认证和授权(这两个主要区域是Spring Security的两个目标) 认证(Authentication): 建立一个声明的主体过程一个[主体]一般是指[用户],[设备]或一些可以[在应用程序中执行动作的其它系统] 授权(Authorization): 访问控制确定一个主体是否允许在你的应用程序执行一个动作的过程为了抵达需要授权的点,主体身份已经有认证过程的建立 Spring Security 针对Spring项目的安

01

Spring Boot Admin 添加报警提醒和登录验证功能！

Spring Boot Admin（SBA）是一个开源的社区项目，用于管理和监控 Spring Boot 应用程序，它提供了详细的健康信息、内存信息、JVM 系统和环境属性、垃圾回收信息、日志设置和查看、定时任务查看、Spring Boot 缓存查看和管理等功能。 SBA 监控概览如下图所示：

02

Swagger3就是比2简单粗暴

接口文档总是很烦人，我曾经尝试过用Postman来编写和分享项目文档，感觉还不错。但是最近项目紧，我没有额外的时间可以花在它上面，这也导致我尝试YApi（另外一种文档）的计划泡汤了。嗯，目前没有比Swagger更快、更傻瓜的工具，虽然它有严重的代码污染。先拿这个对付一阵时间，等闲暇时间再玩YApi。

06

SpringSecurity认证流程

最近在学习SpringSecurity，中间就遇到了一个问题：我在浏览器中第一次输入localhost:8080/hello，提示我没有登陆，自动跳转到登陆页面，等我登陆成功后，我在输入localhost:8080/hello,就成功访问了，验证第二次的时候，验证信息是存储在哪呢？跟完源码发现：存储信息存在session中，然后每次请求都在session中取出并且放在ThreadLocal中。

01

Spring Security (三) 核心配置解读

上一篇文章《Spring Security(二)--Guides》，通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的，本篇文章对上一次的配置做一个分析。 3 核心配置解读 3.1 功能介绍这是Spring Security入门指南中的配置项： @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

08

Spring Security(三)--核心配置解读

上一篇文章《Spring Security(二)--Guides》，通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的，本篇文章对上一次的配置做一个分析。目录核心配置解读 3.1 功能介绍 3.2 EnableWebSecurity WebSecurityConfiguration AuthenticationConfiguration 3.3 WebSecurityConfigurerAdapter HttpSecurity常用配置 WebSecuri

07

SpringBoot集成Knife4j接口管理工具

官网的配置如下图所示，我多配置了个head参数，目的是为了每次请求的时候在请求头上带上token参数，方便后端JWT的校验。

02

Spring Security6 全新写法，大变样！

Spring Security 在最近几个版本中配置的写法都有一些变化，很多常见的方法都废弃了，并且将在未来的 Spring Security7 中移除，因此松哥在去年旧文的基础之上，又补充了一些新的内容，重新发一下，供各位使用 Spring Security 的小伙伴们参考。

02

SpringBoot整合SpringSecurity完整教程

之前项目用的是SSM框架,所以我们选用的安全框架是shiro,但是因为技术主管把我们分散做的模块整合到一起做成微服务的形式,所以我们就用springboot重新将我们的项目迁移了过来.

02

奇怪，Spring Security 登录成功后总是获取不到登录用户信息？

一开始我觉得这可能是一个小概率 BUG，但是当问的人多了，我觉得这个问题对于新手来说还有一定的普遍性，有必要来写篇文章跟大家仔细聊一聊这个问题，防止小伙伴们掉坑。

06

Spring Security

springBoot 2.5.5 + Mybatis + Spring Security 5.x

02

使用springboot2.1.x+redis来实现session共享采坑实录

在springboot2.0版本之前，大家使用redis+springboot来实现session分布式共享的方式可能如下

07

SpringBoot 实战 (十七) | 整合 WebSocket 实现聊天室

昨天那篇介绍了 WebSocket 实现广播，也即服务器端有消息时，将消息发送给所有连接了当前 endpoint 的浏览器。但这无法解决消息由谁发送，又由谁接收的问题。所以，今天写一篇实现一对一的聊天室。

02

《Spring实战》摘录 - 17

问题: #9.1.3-2 | Spring Security必须配置在一个什么样的bean中

03

webSecurity | Electron 安全

大家好，今天跟大家讨论的是 Electron 的安全配置选项 —— webSecurity

01

SpringBoot+SpringSecurity处理Ajax登录请求

最近在项目中遇到了这样一个问题：前后端分离，前端用Vue来做，所有的数据请求都使用vue-resource，没有使用表单，因此数据交互都是使用JSON，后台使用Spring Boot，权限验证使用了Spring Security，因为之前用Spring Security都是处理页面的，这次单纯处理Ajax请求，因此记录下遇到的一些问题。这里的解决方案不仅适用于Ajax请求，也可以解决移动端请求验证。

05

ambari-server版本比较

2.7版本在 org/apache/ambari/server/controller/目录下的xxxRequest.java和xxxResponse.java文件内新增了@ApiModelProperty注解。

02

SpringBootStarter技术：生产就绪与环境配置、实现自定义Starter

Spring Boot能够迅速地在微服务开发领域流行起来，并影响众多Spring和Java开发社区开发人员，可以说主要原因有两个。

01

Spring Security安全

如果添加了Spring Security的依赖，那么web应用默认对所有的HTTP路径（也称为终点，端点，表示API的具体网址）使用’basic’认证。为了给web应用添加方法级别（method-level）的保护，可以添加@EnableGlobalMethodSecurity并使用想要的设置。

03

SpringBoot+SpringSecurity处理Ajax登录请求

最近在项目中遇到了这样一个问题：前后端分离，前端用Vue来做，所有的数据请求都使用vue-resource，没有使用表单，因此数据交互都是使用JSON，后台使用Spring Boot，权限验证使用了Spring Security，因为之前用Spring Security都是处理页面的，这次单纯处理Ajax请求，因此记录下遇到的一些问题。这里的解决方案不仅适用于Ajax请求，也可以解决移动端请求验证。创建工程首先我们需要创建一个Spring Boot工程，创建时需要引入Web、Spring Securit

05

Spring Security配置内容安全策略

在IDEA里集成阿里的https://start.aliyun.com，创建一个Spring Initializr项目：

02

spring cloud 搭建oauth2授权服务使用redis存储令牌

依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </de

02

聊聊spring security的permitAll以及webIgnore

本文主要聊一下spring security的permitAll以及webIgnore的区别

01

spring security authorization server token端点配置跨域访问

在网页端跨域访问spring-security-oauth2搭建的授权服务器，以ClientCredentials授权模式获取token，发生跨域请求失败。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭