2. 程式人生 > 程式設計 >SpringSecurity 吐槽篇

SpringSecurity 吐槽篇

阿新 發佈:2019-12-31

Keep it simple,stupid

配置複雜難以理解

以一段配置為例

  @Override
  public void configure(WebSecurity web) {
    web.ignoring()
      .antMatchers(HttpMethod.OPTIONS,"/**")
      .antMatchers("/app/**/*.{js,html}")
      .antMatchers("/i18n/**")
      .antMatchers("/swagger-ui/index.html")
      .antMatchers("/test/**");
  }

  @Override
 

  protected void configure(HttpSecurity http) throws Exception {
    http
      .exceptionHandling()
      .authenticationEntryPoint(http401UnauthorizedEntryPoint())
      .and()
      .csrf()
      .disable()
      .headers()
      .disable()
      .sessionManagement()
      .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
      .and()
      .authorizeRequests()
      .antMatchers("/auth/**"
 
).permitAll()
      .antMatchers("/actuator/**").access(actuatorExp)
      .antMatchers("/user/register/").hasAuthority(AuthoritiesConstants.API_REGISTER.getValue())
      .antMatchers("/**").hasAuthority(AuthoritiesConstants.USER.getValue())
      .antMatchers("/pick/**").hasAuthority(AuthoritiesConstants.PICKER.getValue())
      .and()
      .securityContext()
      .securityContextRepository(new
 
 NullSecurityContextRepository())
      .and()
      .apply(securityConfigurerAdapter());

    if (verificationSecurityConfigurer != null) {
      http.apply(verificationSecurityConfigurer);
    }
  }
複製程式碼

WebSecurity 與 HttpSecurity 什麼關係,能不能統一到一起配置?

HttpSeecurity 的配置從上到下沒有層次感,需要了解足夠多的內部配置資訊才能準確配置.

"Explicit is better than implicit",Spring Security 預設啟用的配置10+,都是隱式配置,但是需要顯式的 disable .

優化使用者體驗?

下面也許更好

    http
      .apply(sessionConfigurer)
      .apply(csryConfigurer)
      .apply(contextConfigurer)
      .apply(authorizeConfigurer)
      .apply(customConfigurer)
複製程式碼
  • 顯式配置,提供預設配置的實現,但不預設配置.
  • 具體配置由配置類實現,不在頂層配置.

實現複雜

實現獲取 Token,驗證,授權,訪問控制使用的都是 Filter. 而且 Filter 還是 Servlet 規範的 Filter,對使用者而言,不免混淆.

Filter 過於強大(強大到可以基於 FIlter 實現 Struts2 框架 ),而 Spring Security 並未對此設限.

以異常處理來做業務邏輯. 這個也是不得已為之,畢竟基於 Filter

    public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
            throws IOException,ServletException;
複製程式碼

Filter 的核心方法 doFilter 是沒有返回值的 以異常處理做業務處理的問題,就是重拾萬惡的GOTO 語句

END

當然,Spring Security 被廣泛使用的原因在於它確實可以滿足使用者的安全需求,儘管並不好用. 有沒有更簡單的安全框架,也許 Shiro 是個不錯的選擇,但個人並沒有進一步瞭解,此處不表.

由於 Spring Security 是 Spring 官方預設實現,在很長的一段時間內,依然會是主流,如果不能反抗,那就享受吧.

相關推薦

SpringSecurity

Keep it simple,stupid 配置複雜難以理解 以一段配置為例 @Override public void configure(WebSecurity web) {

typescript

說起 typescript,認識的還蠻早,因為不喜歡強型別,所以並不是很喜歡。但是隨著越來越多的程式設計師使用,慢慢的我也重新審視自己,是不是太井底之蛙了。

下若依(RuoYi)系統的許可權系統(shiro和spring-security)

起因 有接觸若依,目前是前後端分離版本是用的spring-security,不分離版本是用的shiro,兩個許可權都有些想的地方

共享單車出現語音廣告,網友:行走的廣告機器?

9 月 30 日訊息 據中新網報道,近日有共享單車品牌推出了語音廣告,哈囉單車在開關鎖時會出現一段語音廣告。

國慶過完,分析對應旅遊景點評論,看看是否像的那樣坑爹

本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯絡我們以作處理。

Win7壽終正寢 為何Win10屢被它卻無比經典?

是的,一代經典作業系統Windows 7即將要和我們告別了。微軟早前就已經宣佈,將會在明年也就是2020年1月14日,停止對Windows 7的全部支援。而Win7使用者也收到了越來越頻繁的Win10升級通知,微軟專門為此釋出了一個KB

面試一個百度T7程式設計師,一道簡單的題沒答上來!網友卻都在面試官!

程式設計師面試時都考些什麼? 一個面試官得意洋洋地說自己面了一個百度T7,出了一道coding題,結果對方連最長上升子序列都寫不出來。

人人都是程式設計師?一邊,一邊卻偷偷用,低程式碼工具真香

人人都是產品經理,這句話從15年就開始說了,意思是每個人都可以對產品(比如你使用的app,網頁)進行設計,只需要對整個產品瞭解就可以。

離職半年了,最近又開始被輸出不夠...

一、內容分享不會停止 是的,最近部落格上的系列又開始出現“太監”跡象了...

。學習遇到的問題--虛擬機器無法識別usb

我真的忍不住想一下,之前下載的VMware10然後識別不了USB 去度娘上搜半天,各種方法參差不齊

震驚!某程式設計師零基礎自學程式設計很難,真的是這樣嗎?

前言:在自學程式設計的過程中,一部分程式設計師遇到冰冷的英語字母,枯燥的程式設計教程,果斷選擇了放棄。但其實自學程式設計不是那麼難,只要是邏輯思維或者理科比較好的還行的小夥伴,程式設計入門完

分析《令人心動的offer2》網友們都在什麼?

綜藝,是我們勞累了一天的放鬆方式,也是我們飯後的談資。看著自己喜歡的綜藝,時光足夠美。而《令人心動的offer 》,就是一個不錯的綜藝選擇。有人說它讓自己更自卑了,而我覺得挺有意思。

c++ 證書校驗程式碼_Go 每日一庫之 validator 庫實用技巧:之前被程式碼亂

技術標籤:c++ 證書校驗程式碼 validator庫實用技巧 在web開發中一個不可避免的環節就是對請求引數進行校驗,通常我們會在程式碼中定義與請求引數相對應的模型(結構體),藉助模型繫結快捷地解析請求中的引數,

解決Nacos無法連線Mysql8.0+的問題(坑爹的阿里官方文件,已無力)

技術標籤:javaerrormysqljavajdbcalibaba 如果你的mysql是8.0以上的的就不要在參考阿里的官方文件了,因為阿里的文件只適用於mysql5版本,再次吐槽一下,阿里的文件才是真正的挖坑埋人!!!,以下才是標準的配置過

SE 出臺《尼爾》系列二次創作準則 橫尾太郎:故事已違反第四條

近日,SE官方出臺了有關於《尼爾》系列二次創作(同人)的7條基本準則,目前這條推特已經被橫尾太郎轉發,橫尾太郎本人則:其實《尼爾》故事已經違反了第四條。

快手打新被:我是打了個寂寞

在看到自己中籤的那一刻,肖餘激動地從床上跳了起來,不過差點閃了腰。“我居然中了一手。”

杉田智和實力 最近不喜歡遊戲的傢伙參與遊戲節目太兒戲

日本著名聲優杉田智和曾經因為飾演銀時練就“聖嘴”,近日再次公眾場合發聲,各類節目中有越來越多的明明不喜歡有遊戲的“外人”參與遊戲節目,實在太過兒戲不嚴謹。

無力的 create-shortcut.exe

技術標籤: 一個存在 git-scm 安裝包裡的一個 exe 卻不是一個合格的程式,連 --help /? 都不支援,文件也不知道上哪找,原始碼也不知道上哪找,不知道給誰用

小米相機部召開大會:收到大量人像 / VLog 改進建議,將持續跟進

2月28日訊息小米相機部產品總監 @Queena_小米 27 日在微博表示,應米粉要求在微博召開小米相機拍人吐槽大會,今晚又向米粉徵求針對 Vlog 功能的吐槽。產品總監表示,已經收到使用者們的積極反饋,小米相機部門會一條

騎手千元喜茶訂單配送費僅 5 元,美團迴應稱配送費是系統根據距離計算

3 月 1 日訊息 近日 “外賣員 1000 元訂單配送費僅 5 元”登上微博熱搜,據悉,廣州一名美團外賣小哥稱,送 “1000 元的喜茶訂單,配送費僅有 5 元”。