1、简介

在Spring Security中，<code>WebSecurityConfigurerAdapter 类是一个配置适配器，它提供了多种 configure 方法的重载，允许开发者以声明性的方式配置Web安全。

2、相关规则

1. configure(WebSecurity web)

此方法用于配置哪些请求应该被Spring Security的过滤器链忽略。这通常用于静态资源（如CSS、JS、图片等），这些资源不需要进行安全认证。

@Override

public void configure(WebSecurity web) throws Exception {

web.ignoring()

.antMatchers("/css/**", "/js/**", "/images/**", "/favicon.ico");

}

2. configure(HttpSecurity http)

这是 WebSecurityConfigurerAdapter 中最重要的 configure 方法之一，它用于配置HTTP安全。通过这个方法，你可以定义哪些URL模式需要被保护，以及如何进行身份验证和授权。

@Override

protected void configure(HttpSecurity http) throws Exception {

http

// 启用CSRF保护

.csrf().disable() // 注意：出于示例目的，这里禁用了CSRF保护，实际项目中应启用

// 配置请求授权

.authorizeRequests()

.antMatchers("/login", "/register", "/public/**").permitAll() // 这些URL允许匿名访问

.anyRequest().authenticated() // 其他所有请求都需要认证

.and()

// 配置表单登录

.formLogin()

.loginPage("/login") // 自定义登录页面

.defaultSuccessUrl("/home", true) // 登录成功后的默认跳转页面

.failureUrl("/login-error") // 登录失败后的页面

.permitAll() // 允许所有人访问登录页面

.and()

// 配置登出

.logout()

.logoutUrl("/logout") // 登出请求的URL

.logoutSuccessUrl("/login?logout") // 登出成功后的跳转页面

.permitAll() // 允许所有人访问登出功能

.and()

// 添加HTTP安全头部

.headers()

.frameOptions().deny() // 禁止iframe

.and()

// 会话管理

.sessionManagement()

.invalidSessionUrl("/invalid-session"); // 无效会话时的跳转页面

}

3. configure(AuthenticationManagerBuilder auth)

此方法用于配置认证管理器（AuthenticationManager），它决定了如何对用户进行身份验证。可以通过它来定义用户信息的来源（如内存、数据库、LDAP等）和密码的加密方式。

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

// 使用内存中的用户进行认证

auth

.inMemoryAuthentication()

.withUser("user").password("{noop}password").roles("USER")

.and()

.withUser("admin").password("{noop}admin").roles("USER", "ADMIN");

// 或者使用自定义的用户详情服务

// auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());

}

@Bean

public PasswordEncoder passwordEncoder() {

return new BCryptPasswordEncoder();

}