• Spring Security7.0 中有哪些新变化?
  • 发布于 1周前
  • 64 热度
    0 评论
  • 我怕黑
  • 22 粉丝 40 篇博客
  •   
虽然 Spring Security7.0 尚未确定发布日期,但是我们还是需要提前做一些准备工作,因为在已知的信息中,在 Spring Security7.0 中会有一大批大家熟悉的 API 被移除,这些 API 在 Spring Security6 中已经处于废弃状态,但是还能用,但是到了 Spring Security7.0,这些就被移除了,所以我们还是有必要来看看 Spring Security7.0 中的一些比较典型的变化。

一. lambda 配置
Lambda DSL 自 Spring Security 5.2 版本以来就存在,它允许使用 lambda 表达式配置 HTTP 安全性。我们来看看使用 lambda 配置 HTTP 安全性与之前的配置风格相比有何差别:

使用 lambda 的配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/blog/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(formLogin -> formLogin
                .loginPage("/login")
                .permitAll()
            )
            .rememberMe(Customizer.withDefaults());
        return http.build();
    }
}
不使用 lambda 的等效配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests()
            .requestMatchers("/blog/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .rememberMe();
        return http.build();
    }
}
目前来说,Lambda DSL 是配置 Spring Security 的首选方式,现在 Spring Security6 中旧版写法被废弃了,在 Spring Security7 中旧版写法将被移除,也就是未来必须使用 Lambda DSL 来配置。这样做的主要原因有:
1.之前的方式在不知道返回类型的情况下,不清楚哪个对象正在被配置。
2.嵌套越深,维护越不方便。

3.许多代码库在这两种风格之间切换,这导致了不一致性,使得理解配置变得困难,并经常导致配置错误。


二. Lambda DSL 配置技巧
当比较上述两个示例时,我们会注意到一些关键差异:
在 Lambda DSL 中,不需要使用 .and() 方法来链式配置选项。
在 lambda 方法调用后,HttpSecurity 实例会自动返回以进行进一步配置。

Customizer.withDefaults() 使用 Spring Security 提供的默认值启用安全特性。


三. WebFlux 配置
我们也可以使用 lambda 以类似的方式配置 WebFlux 项目。以下是使用 lambda 的示例配置。
@Configuration
@EnableWebFluxSecurity
public class SecurityConfig {
    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
            .authorizeExchange(exchanges -> exchanges
                .pathMatchers("/blog/**").permitAll()
                .anyExchange().authenticated()
            )
            .httpBasic(Customizer.withDefaults())
            .formLogin(formLogin -> formLogin
                .loginPage("/login")
            );
        return http.build();
    }
}
四. Lambda DSL 的优势
1.自动缩进使配置更易读。
2.不需要使用 .and() 来链式配置选项。
Spring Security DSL 的配置风格与其他 Spring DSL(如 Spring Integration 和 Spring Cloud Gateway)相似,可以更快的上手。
用户评论