不推荐使用属性“security.basic.enabled”:不再可自定义安全自动配置
Posted
技术标签:
【中文标题】不推荐使用属性“security.basic.enabled”:不再可自定义安全自动配置【英文标题】:Property 'security.basic.enabled' is Deprecated: The security auto-configuration is no longer customizable 【发布时间】:2018-09-17 22:40:30 【问题描述】:我正在使用 spring-boot-starter-parent 版本 2.0.1.RELEASE 开发 Spring Cloud 项目。
我的警告低于警告,看起来像
。请提供您自己的 WebSecurityConfigurer bean。
安全性: 基本的: enabled: false 在 spring security 最新版本中被禁用。
你能指导我改用什么吗?
application.yml
---
server:
port: 8888
security:
basic:
enabled: false
spring:
cloud:
config:
server:
git:
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls
search-paths:
- 'station*'
repos:
perf:
pattern:
- '*/perf'
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
search-paths:
- 'station*'
pom.xml
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.1.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
<spring-cloud.version>Finchley.BUILD-SNAPSHOT</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-config-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>$spring-cloud.version</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
<repositories>
<repository>
<id>spring-snapshots</id>
<name>Spring Snapshots</name>
<url>https://repo.spring.io/snapshot</url>
<snapshots>
<enabled>true</enabled>
</snapshots>
</repository>
<repository>
<id>spring-milestones</id>
<name>Spring Milestones</name>
<url>https://repo.spring.io/milestone</url>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
这是我的测试课。
@RunWith(SpringRunner.class)
@SpringBootTest
public class PluralsightSpringcloudM2ConfigserverGitApplicationTests
@Test
public void contextLoads()
和
与其他问题无关
【问题讨论】:
【参考方案1】:这是因为当您编写security.basic.enabled = false 时,您基本上是在告诉应用程序我不关心安全性并允许所有请求。在 spring boot 2.0 之后,您不能只编写该 1 配置来使应用程序不安全。您需要编写一些代码来做到这一点。或者你可以复制以下内容。
package com.LockheedMartin.F22Simulator;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http.authorizeRequests().anyRequest().permitAll();
顺便说一句,您应该从 application.properties 中删除 security.basic.enabled = false,因为 spring 2.*.* 不再了解该属性,如果您有正确的 Intellij 设置,您应该会看到一条警告说 'unsupported property'。
【讨论】:
包 com.LockheedMartin.F22Simulator; OMG,多么好的代码。 您的解决方案并没有完全为我解决:它解决了我的集成测试中不需要的 401,但我得到了 403。我能够用这个答案解决它:***.com/a/49261864/3149048【参考方案2】:Spring Boot 2.0 更改了它的自动配置(包括一些属性)并且现在有一个单一的行为,一旦你添加你自己的 WebSecurityConfigurerAdapter 就会退出。默认配置看起来像
protected void configure(HttpSecurity http) throws Exception
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
默认配置具有生成密码的单个用户。要自定义此用户,请使用spring.security.user 下的属性。
spring.security.user.name=user # Default user name.
spring.security.user.password= # Password for the default user name.
spring.security.user.roles= # Granted roles for the default user name.
自 Spring Boot 2 起,以下属性已被删除:
security.basic.authorize-mode
security.basic.enabled
security.basic.path
security.basic.realm
security.enable-csrf
security.headers.cache
security.headers.content-security-policy
security.headers.content-security-policy-mode
security.headers.content-type
security.headers.frame
security.headers.hsts
security.headers.xss
security.ignored
security.require-ssl
security.sessions
可在此处找到替换(如果存在):Appendix A. Common application properties
需要明确:如果您创建自定义 WebSecurityConfigurerAdapter,默认安全配置将替换为您的自定义配置:
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
// For example: Use only Http Basic and not form login.
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
欲了解更多信息,请访问春天2.0 Migration Guide。
【讨论】:
security.basic.enabled 也已弃用。正确的替换是什么? @SayaliShinde 这取决于您想要实现的目标。如果您只想禁用 HTTP Basic(并且根本没有身份验证),请删除对spring-boot-starter-security 的依赖。如果您想配置另一个身份验证(例如表单登录或 openid)HttpSecurity 提供了配置所需安全性的方法。
@sn42 您的回答就其本身而言,内容丰富且很有帮助,我很感激。一个很好的答案,确实=)但不适用于这个问题。我们只是在 spring 下移动安全属性。顺便说一句,我没有投反对票。我只是想指出最简单的解决方案。【参考方案3】:
如果您使用的是 Spring 反应式安全性,我们需要这样做,
@Bean
public SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http)
http.authorizeExchange().anyExchange().permitAll();
return http.build();
关于这方面还有另一个 *** 帖子,Spring boot 2.0 disable default security
【讨论】:
【参考方案4】:这样我就能解决这个问题。不过不确定。我刚刚更正了 application.yml
---
server:
port: 8888
spring:
cloud:
config:
server:
git:
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls
search-paths:
- 'station*'
repos:
perf:
pattern:
- '*/perf'
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
search-paths:
- 'station*'
security:
user:
name: test
password: test
当我访问 url:http://localhost:8888/s1rates/default 时,它要求我输入用户名和密码,我得到以下结果。
【讨论】:
【参考方案5】:我会在你的测试课上尝试以下方法:
@SpringBootTest(properties="spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")
这将在您的测试类的上下文中禁用 spring-security 的自动配置。
编辑:如果它不限于测试类上下文,同样可以应用于:
@SpringBootApplication(exclude="org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")
或者,在您的 application.yaml 中,您可以这样做:
spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration
【讨论】:
因为他们说“已弃用”,但该属性实际上在 2.0 中停止工作。如果它不仅适用于测试类,而且一般来说,一种方法是按照 sn42 的建议提供您自己的WebSecurityConfigurerAdapter,或者查看我的更新答案
看起来包在 Spring Boot 2.2.2.RELEASE 中发生了变化,spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.SecurityAutoConfiguration; 仍然无法正常工作
这种方式 spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration 并具有 spring-security 依赖确实会给 Unauthorized以上是关于不推荐使用属性“security.basic.enabled”:不再可自定义安全自动配置的主要内容,如果未能解决你的问题,请参考以下文章