那些遇到过的问题

Spring中的@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)与ManagementServerProperties.ACCESS_OVERRIDE_ORDER

Hop*_*ing 11 java spring spring-mvc spring-security spring-boot-actuator

问题1:在Spring Security中,功能究竟是什么

@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)

Spring文档陈述如下,但我不确定我是否理解清楚

要在不更改任何其他自动配置功能的情况下覆盖访问规则,请添加类型为WebSecurityConfigurerAdapter的@Bean @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER).

Spring Security中各种安全功能的排序如下所述(LowestValue即最高优先级即最高优先级,即最低优先级)

  1. Ordered.HIGHEST_PRECEDENCE = -2 ^ 31-1
  2. WebSecurityConfigurerAdapter = 100(基于Docs中提到的@Order(100))
    1. Access_Override_Order = Basic_Auth_Order -2对于安全属性
    2. Access_Override_Order = Basic_Auth_Order -1for ManagementServerProperties Basic_Auth_Order-2 = 2 ^ 31-7
  3. Basic_Auth_Order = Ordered.Lowest_Precendence -5 = 2^31-5
  4. Ordered.LOWEST_PRECEDENCE = 2^31

问题2 根据上面各种安全功能的排序,如果我想覆盖管理端点和应用程序其余部分的默认规则,我应该使用

  • SecurityPropertiesACCESS_OVERRIDE_ORDER或
  • ManagementServerProperties ACCESS_OVERRIDE_ORDER?

我目前正在使用,SecurityProperties ACCESS_OVERRIDE_ORDER但根据这里的建议 让ACTUATOR工作,我需要启用ManagementServerProperties ACCESS_OVERRIDE_ORDER.如果我想要两个都工作,我应该覆盖哪一个?

谢谢.

Aja*_*tan 14

SecurityProperties不再为 @Order 注释定义ACCESS_OVERRIDE_ORDER常量。但是,如果应用程序定义了任何安全细节,Spring Boot 不再定义任何安全细节,因此我们不需要安全性 @Configuration 类上的 @Order 注释,可以将其删除。

San*_*Lee 10

Q1.问题1:在Spring Security中,注释究竟做了@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)什么?

它所做的工作在你引用的文档中得到了很好的解释.

要在不更改任何其他自动配置功能的情况下覆盖访问规则,请添加类型为WebSecurityConfigurerAdapter的@Bean @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER).

但是WebSecurityConfigurerAdapter,它具有@Order(100)更高的优先级.

没有.

你应该小心这一部分autoconfigured features.使用@EnableAutoConfiguration哪个是其中的一部分@SpringBootApplication,很多东西都是自动配置的,100不是自动配置的值,而是类中的硬编码值WebSecurityConfigurerAdapter.

您可以在SecurityProperties课堂中找到用于自动配置Spring Security的订单值,您可以发现值ACCESS_OVERRIDE_ORDER最低,这意味着它具有最高优先级.

他们在哪里自动配置?

你可以找到@Order(SecurityProperties.BASIC_AUTH_ORDER)SpringBootWebSecurityConfiguration课堂上使用的.

然后,当被注释@Order(100)WebSecurityConfigurerAdapter使用呢?

例如,如果通过添加禁用自动配置@EnableWebSecurity,则将使用该值.由于该值的100优先级太高,因此最好将@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)注释放在自定义类中.

Q2.基于上面各种安全功能的排序,如果我想覆盖管理端点和应用程序其余部分的默认规则,我应该使用什么

使用ManagementServerProperties ACCESS_OVERRIDE_ORDER.

它需要更高的优先级,因此如果要覆盖所有端点的默认规则,则必须使用它.如果打开ManagementServerProperties类,可以看到如何设置值.

SecurityProperties

int ACCESS_OVERRIDE_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 2; // 39
int BASIC_AUTH_ORDER = Ordered.LOWEST_PRECEDENCE - 5; // 41
Run Code Online (Sandbox Code Playgroud)

ManagementServerProperties

int BASIC_AUTH_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 5; // 36
int ACCESS_OVERRIDE_ORDER = ManagementServerProperties.BASIC_AUTH_ORDER - 1; // 35
Run Code Online (Sandbox Code Playgroud)

在评论中,39意思是21474839,为了便于阅读,我省略了前6位数字.

  • 似乎SecurityProperties.ACCESS_OVERRIDE_ORDER不再存在.我们可以使用SecurityProperties.BASIC_AUTH_ORDER - 2来达到同样的效果吗? (5认同)

归档时间:

查看次数:

12874 次

最近记录:

6 年,7 月 前
相关归档
@Nullable注释用法 329
如何获取Java中当前时刻的年,月,日,小时,分钟,秒和毫秒? 97
Tomcat和Spring Web - 未找到类异常org.springframework.web.context.ContextLoaderListener 33
JPA使用多个数据库模式 25
Spring和Spring Boot之间的区别 22
为什么我需要在Spring应用程序上下文中定义Hibernate-JPA供应商适配器? 14
如何向假装客户端添加请求拦截器? 9
Grails Spring Security @Secured无法正常工作 2
Spring 安全 Acl 对象 1
分页 Thymeleaf 3.0 Spring MVC 0
难疑归档
如果我有jQuery背景,"在AngularJS中思考"? 4518
你如何创建一个远程Git分支? 3030
检查字典中是否已存在给定键 2683
在C++中将int转换为字符串的最简单方法 1488
[Flags]枚举属性在C#中意味着什么? 1383
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
什么是monad? 1373
使用*args和**kwargs 1367
performSelector可能导致泄漏,因为其选择器未知 1251
将标签重新定义为4个空格 1041