那些遇到过的问题

如何修复 Spring AuthorizeRequests 已弃用的问题?

GOL*_*oFA 42 java spring

Spring 已更新,称authorizeRequests 已弃用,antMatchers 已删除。有人可以展示 SpringSecurity 应该是什么样子吗?

@Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = false, securedEnabled = true)
public class SecurityConfig {

    private final PersonDetailsService personDetailsService;

    @Autowired
    public SecurityConfig(PersonDetailsService personDetailsService) {
        this.personDetailsService = personDetailsService;
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable().authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/, /login, /signup, /logout").permitAll()
                .requestMatchers("/api").hasRole("ADMIN")
                .requestMatchers("/user").hasRole("USER")
                .anyRequest().authenticated())
                .logout().logoutUrl("/logout").logoutSuccessUrl("/").and()
                .formLogin().loginPage("/login").loginProcessingUrl("/login").defaultSuccessUrl("/user").failureUrl("/login?error");
        return http.build();
    }
}
Run Code Online (Sandbox Code Playgroud)

看了文档、stackoverflow等没有找到解决办法。

小智 94

您可以使用authorizeHttpRequests代替authorizeRequestsrequestMatchers代替antMatchers

例如:

http.authorizeHttpRequests()
  .requestMatchers("/authentication/**").permitAll()
  .requestMatchers("/h2/**").permitAll()
  .anyRequest().authenticated();
Run Code Online (Sandbox Code Playgroud)

  • **`authorizeHttpRequests()` 也已弃用**,请参阅[文档](https://docs.spring.io/spring-security/site/docs/current/api/org/springframework/security/config/annotation /web/builders/HttpSecurity.html#authorizeHttpRequests()) (19认同)
  • @MarcoLackovic 是的,但只是从 Spring Boot 3.1 开始,它还没有进入 3.0。有点快速弃用。 (2认同)

Seb*_*oek 22

@Tyler2P的答案适用于 Spring Boot 3.0,但在 Spring Boot 3.1 中 authorizeHttpRequests() 已被弃用,取而代之的是不同的 API。

现在应该是

http.authorizeHttpRequests(authz -> authz
  .requestMatchers("/authentication/**").permitAll()
  .requestMatchers("/h2/**").permitAll()
  .anyRequest().authenticated());
Run Code Online (Sandbox Code Playgroud)

迁移指南中也提到了这一点:https ://docs.spring.io/spring-security/reference/5.8/migration/servlet/config.html

另请注意,在更高版本的 Spring Boot 3.1 中,使用 lambda 的中间方法authorizeRequests也已被弃用,取而代之的是authorizeHttpRequests,但这确实改变了功能。其一,我们的自定义身份验证提供程序不再被调用,因此我们还无法迁移。

GKi*_*lin 5

对于 Spring Boot 3.1.0 我的迁移filterChain(HttpSecurity http)示例:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.securityMatcher("/api/**").authorizeHttpRequests(rmr -> rmr
            .requestMatchers("/api/admin/**").hasRole(Role.ADMIN.name())
            .requestMatchers("/api/**").authenticated()
    ).httpBasic(httpbc -> httpbc
            .authenticationEntryPoint(authenticationEntryPoint)
    ).sessionManagement(smc -> smc
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
    ).csrf(AbstractHttpConfigurer::disable);
    return http.build();
}
Run Code Online (Sandbox Code Playgroud)

示例代码可以在https://github.com/JavaOPs/bootjava/tree/patched找到

归档时间:

查看次数:

62500 次

最近记录:

2 年,2 月 前
相关归档
将Java数组转换为Iterable 135
Gson忽略值为null的映射条目 121
如何设置Java程序的进程名称? 59
连接关闭时ResultSet未关闭? 49
Java HashSet <String>的contains()方法会测试字符串或对象标识的相等性吗? 47
使用Eclipse IDE以调试模式加速Tomcat 44
如何在spring中设置调度程序任务每1分钟运行一次 22
Spring JavaMailSenderImpl不支持SSL 12
Fileupload在Primefaces中不起作用 11
使用spring RestTemplate在rest客户端上的最佳实践 10
难疑归档
C++中指针变量和引用变量之间有什么区别? 3115
如何修改指定的提交? 2077
使用JavaScript在新选项卡(而不是新窗口)中打开URL 1941
npm install的--save选项是什么? 1779
为什么在数组迭代中使用"for ... in"是一个坏主意? 1761
从C#中的枚举中获取int值 1698
使当前的Git分支成为主分支 1555
从字典中删除元素 1243
在React JSX中循环 1131
抵消html锚点以调整固定标题 1056