将此注解添加到
@Configuration类以拥有Spring 在任何WebSecurityConfigurer或更多中定义的安全配置 可能通过扩展WebSecurityConfigurerAdapter基类和 覆盖单个方法:
或者正如@EnableWebSecurity 所描述的,用于在我们的项目中启用 SpringSecurity。
但我的问题是,即使我没有用 @EnableWebSecurity 注释我的任何班级,应用程序仍然会提示输入用户名和密码。(默认行为)
所以我收到与@EnableWebSecurity 和没有@EnableWebSecurity 相同的行为。
谁能解释一下这个注释到底是干什么用的?
【问题讨论】:
标签: java spring-boot spring-security annotations
@EnableWebSecurity 是一个标记注释。它允许 Spring 找到(它是 @Configuration,因此是 @Component)并自动将类应用到全局 WebSecurity。
如果我不使用
@EnableWebSecurity注释我的任何课程,应用程序仍然会提示输入用户名和密码。
是的,这是默认行为。如果您查看您的类路径,您会发现其他标有该注释的类(取决于您的依赖项):
SpringBootWebSecurityConfiguration;FallbackWebSecurityAutoConfiguration;WebMvcSecurityConfiguration。仔细考虑它们,关闭所需的配置,或覆盖其行为。
【讨论】:
WebSecurity”?
Spring Boot Reference Guide 对此进行了很好的解释。如果你用@EnableWebSecurity搜索:
要完全关闭默认的 Web 应用程序安全配置,您可以添加一个带有
@EnableWebSecurity的 bean(这不会禁用身份验证管理器配置或执行器的安全性)。要自定义它,您通常使用WebSecurityConfigurerAdapter类型的外部属性和 bean(例如添加基于表单的登录)。...
如果您添加
@EnableWebSecurity并同时禁用 Actuator 安全性,您将获得整个应用程序的默认基于表单的登录,除非您添加自定义WebSecurityConfigurerAdapter。...
如果您在应用程序的任何位置使用
@EnableWebSecurity定义@Configuration,它将关闭Spring Boot 中的默认webapp 安全设置(但保持Actuator 的安全启用)。要调整默认值,请尝试在security.*中设置属性(有关可用设置的详细信息,请参阅SecurityProperties)和通用应用程序属性的安全部分。
显然,这是关闭默认的Web应用程序安全配置并添加您自己的。
【讨论】:
@EnableWebSecurity用于spring security java配置。在扩展 WebSecurityConfigurerAdapter 的安全 Java 类的顶部添加带有 @configuration 的注释。
覆盖configure(WebSecurity web) 和configure(HttpSecurity http)。这是对基于 xml 的配置(如 和 .通过这种方式,您可以限制来自特定 url 的请求 url,也可以启用基于表单的登录。
【讨论】: