Products
96SEO 2026-02-20 00:08 11
在最近几个版本中配置的写法都有一些变化很多常见的方法都废弃了并且将在未来的
过期的过期的原因是因为官方想要鼓励各位开发者使用基于组件的安全配置。
{http.authorizeHttpRequests((authz)
authz.anyRequest().au***nticated()).httpBasic(withDefaults());}}那么以后就要改为下面这样了
{http.authorizeHttpRequests((authz)
authz.anyRequest().au***nticated()).httpBasic(withDefaults());return
http.build();}}如果懂之前的写法的话下面这个代码其实是很好理解的我就不做过多解释了不过还不懂
{web.ignoring().antMatchers(/ignore1,
web.ignoring().antMatchers(/ignore1,
super.au***nticationManagerBean();}
userService;BeanAu***nticationManager
DaoAu***nticationProvider();daoAu***nticationProvider.setUserDetailsService(userService);ProviderManager
ProviderManager(daoAu***nticationProvider);return
au***nticationManager;AutowiredUserDetailsService
http.getSharedObject(Au***nticationManagerBuilder.class);au***nticationManagerBuilder.userDetailsService(userDetailsService);au***nticationManager
au***nticationManagerBuilder.build();http.csrf().disable().cors().disable().authorizeHttpRequests().antMatchers(/api/v1/account/register,
/api/v1/account/auth).permitAll().anyRequest().au***nticated().and().au***nticationManager(au***nticationManager).sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);return
中默认情况下只要添加了依赖我们项目的所有接口就已经被统统保护起来了现在启动项目访问
现在我们的第一个需求是使用自定义的用户而不是系统默认提供的这个简单我们只需要向
InMemoryUserDetailsManager();users.createUser(User.withUsername(javaboy).password({noop}123).roles(admin).build());users.createUser(User.withUsername(江南一点雨).password({noop}123).roles(admin).build());return
当然我现在的用户是存在内存中的如果你的用户是存在数据库中那么只需要提供
InMemoryUserDetailsManager();users.createUser(User.withUsername(javaboy).password({noop}123).roles(admin).build());users.createUser(User.withUsername(江南一点雨).password({noop}123).roles(admin).build());return
users;}BeanWebSecurityCustomizer
{web.ignoring().antMatchers(/hello);}};}}以前位于
InMemoryUserDetailsManager();users.createUser(User.withUsername(javaboy).password({noop}123).roles(admin).build());users.createUser(User.withUsername(江南一点雨).password({noop}123).roles(admin).build());return
方法中的配置实际上就是配置过滤器链。
现在过滤器链的配置我们通过提供一个
的第一个参数是拦截规则也就是哪些路径需要拦截第二个参数则是过滤器链这里我给了一个空集合也就是我们的
会拦截下所有的请求然后在一个空集合中走一圈就结束了相当于不拦截任何请求。
其实我觉得目前这中新写法比以前老的写法更直观更容易让大家理解到
中有哪些过滤器其实换一个写法我们就可以将这个配置成以前那种样子
InMemoryUserDetailsManager();users.createUser(User.withUsername(javaboy).password({noop}123).roles(admin).build());users.createUser(User.withUsername(江南一点雨).password({noop}123).roles(admin).build());return
securityFilterChain(HttpSecurity
{http.authorizeRequests().anyRequest().au***nticated().and().formLogin().permitAll().and().csrf().disable();return
http.build();}}这么写就跟以前的写法其实没啥大的差别了。
InMemoryUserDetailsManager();users.createUser(User.withUsername(javagirl).password({noop}123).roles(admin).build());http.authorizeRequests().anyRequest().au***nticated().and().formLogin().and().csrf().disable().userDetailsService(users);http.addFilterAt(loginFilter(),
UsernamePasswordAu***nticationFilter.class);
的配置来代替传统的链式配置所以以后我们的写法就得改成下面这样啦
securityFilterChain(HttpSecurity
{http.authorizeHttpRequests(auth
auth.requestMatchers(/hello).hasAuthority(user).anyRequest().au***nticated()).formLogin(form
form.loginProcessingUrl(/login).usernameParameter(name).passwordParameter(passwd)).csrf(csrf
csrf.disable()).sessionManagement(session
session.maximumSessions(1).maxSessionsPreventsLogin(true));return
}其实这里的几个方法倒不是啥新方法只不过有的小伙伴可能之前不太习惯用上面这几个方法进行配置习惯于链式配置。
可是往后就得慢慢习惯上面这种按照
格式来登录那么就必须自定义过滤器或者自定义登录接口下面先来和小伙伴们展示一下这两种不同的登录形式。
UsernamePasswordAu***nticationFilter在这个过滤器中系统会通过
request.getParameter(this.passwordParameter)
的方式将用户名和密码读取出来很明显这就要求前端传递参数的形式是
格式的参数登录那么就需要从这个地方做文章了我们自定义的过滤器如下
UsernamePasswordAu***nticationFilter
attemptAu***ntication(HttpServletRequest
(MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(contentType)
MediaType.APPLICATION_JSON_UTF8_VALUE.equalsIgnoreCase(contentType))
(!request.getMethod().equals(POST))
Au***nticationServiceException(Au***ntication
ObjectMapper().readValue(request.getInputStream(),
RuntimeException(e);}//构建登录令牌UsernamePasswordAu***nticationToken
UsernamePasswordAu***nticationToken.unau***nticated(username,password);//
authRequest);//执行真正的登录操作Au***ntication
this.getAu***nticationManager().au***nticate(authRequest);return
super.attemptAu***ntication(request,
首先我们获取请求头根据请求头的类型来判断请求参数的格式。
如果是
userService;BeanJsonLoginFilter
JsonLoginFilter();filter.setAu***nticationSuccessHandler((req,resp,auth)-{resp.setContentType(application/json;charsetutf-8);PrintWriter
resp.getWriter();//获取当前登录成功的用户对象User
auth.getPrincipal();user.setPassword(null);RespBean
ObjectMapper().writeValueAsString(respBean));});filter.setAu***nticationFailureHandler((req,resp,e)-{resp.setContentType(application/json;charsetutf-8);PrintWriter
{respBean.setMessage(用户名或者密码输入错误登录失败);}
{respBean.setMessage(账户被禁用登录失败);}
{respBean.setMessage(密码过期登录失败);}
{respBean.setMessage(账户过期登录失败);}
{respBean.setMessage(账户被锁定登录失败);}out.write(new
ObjectMapper().writeValueAsString(respBean));});filter.setAu***nticationManager(au***nticationManager());filter.setFilterProcessesUrl(/login);return
filter;}BeanAu***nticationManager
DaoAu***nticationProvider();daoAu***nticationProvider.setUserDetailsService(userService);ProviderManager
ProviderManager(daoAu***nticationProvider);return
securityFilterChain(HttpSecurity
{//开启过滤器的配置http.authorizeHttpRequests()//任意请求都要认证之后才能访问.anyRequest().au***nticated().and()//开启表单登录开启之后就会自动配置登录页面、登录接口等信息.formLogin()//和登录相关的
CsrfFilter.csrf().disable();http.addFilterBefore(jsonLoginFilter(),
UsernamePasswordAu***nticationFilter.class);return
{AutowiredAu***nticationManager
au***nticationManager;PostMapping(/doLogin)public
{UsernamePasswordAu***nticationToken
UsernamePasswordAu***nticationToken.unau***nticated(user.getUsername(),
au***nticationManager.au***nticate(unau***nticated);SecurityContextHolder.getContext().setAu***ntication(au***nticate);return
Au***nticationManager#au***nticate
userService;BeanAu***nticationManager
DaoAu***nticationProvider();provider.setUserDetailsService(userService);ProviderManager
ProviderManager(provider);return
securityFilterChain(HttpSecurity
{http.authorizeHttpRequests()//表示
这个地址可以不用登录直接访问.requestMatchers(/doLogin).permitAll().anyRequest().au***nticated().and().formLogin().permitAll().and().csrf().disable();return
具体表现就是当你调用登录接口登录成功之后再去访问系统中的其他页面又会跳转回登录页面说明访问登录之外的其他接口时系统不知道你已经登录过了。
SecurityContextPersistenceFilter
SecurityContextPersistenceFilter
HttpRequestResponseHolder(request,
this.repo.loadContext(holder);try
{SecurityContextHolder.setContext(contextBeforeChainExecution);chain.doFilter(holder.getRequest(),
SecurityContextHolder.getContext();SecurityContextHolder.clearContext();this.repo.saveContext(contextAfterChainExecution,
过滤器链的第三个是非常靠前的。
当登录请求经过这个过滤器的时候首先会尝试从
对象这个对象中保存了当前用户的信息第一次登录的时候这里实际上读取不到任何用户信息。
将读取到的
对象也就是当前请求在后续的处理流程中只要在同一个线程里都可以直接从
步的时候就读取到当前用户的信息了在请求后续的处理过程中Spring
this.securityContextRepository.loadDeferredContext(request);try
{this.securityContextHolderStrategy.setDeferredContext(deferredContext);chain.doFilter(request,
{this.securityContextHolderStrategy.clearContext();request.removeAttribute(FILTER_APPLIED);}
在升级的过程中抛弃了之前旧的方案我们又费劲的把之前旧的方案写回来好像也不合理。
org.springframework.security.web.au***ntication.AbstractAu***nticationProcessingFilter#successfulAu***ntication
successfulAu***ntication(HttpServletRequest
this.securityContextHolderStrategy.createEmptyContext();context.setAu***ntication(authResult);this.securityContextHolderStrategy.setContext(context);this.securityContextRepository.saveContext(context,
response);this.rememberMeServices.loginSuccess(request,
{this.eventPublisher.publishEvent(new
InteractiveAu***nticationSuccessEvent(authResult,
this.getClass()));}this.successHandler.onAu***nticationSuccess(request,
}这个方法是当前用户登录成功之后的回调方法小伙伴们看到在这个回调方法中有一句
this.securityContextRepository.saveContext(context,
在当前过滤器中securityContextRepository
RequestAttributeSecurityContextRepository这个表示将
存入到当前请求的属性中那很明显在当前请求结束之后这个数据就没了。
在
DelegatingSecurityContextRepository这是一个代理的存储器代理的对象是
RequestAttributeSecurityContextRepository
HttpSessionSecurityContextRepository所以在默认的情况下用户登录成功之后在这里就把登录用户数据存入到
HttpSessionSecurityContextRepository
当我们自定义了登录过滤器之后就破坏了自动化配置里的方案了这里使用的
RequestAttributeSecurityContextRepository
JsonLoginFilter();filter.setAu***nticationSuccessHandler((req,resp,auth)-{resp.setContentType(application/json;charsetutf-8);PrintWriter
resp.getWriter();//获取当前登录成功的用户对象User
auth.getPrincipal();user.setPassword(null);RespBean
ObjectMapper().writeValueAsString(respBean));});filter.setAu***nticationFailureHandler((req,resp,e)-{resp.setContentType(application/json;charsetutf-8);PrintWriter
{respBean.setMessage(用户名或者密码输入错误登录失败);}
{respBean.setMessage(账户被禁用登录失败);}
{respBean.setMessage(密码过期登录失败);}
{respBean.setMessage(账户过期登录失败);}
{respBean.setMessage(账户被锁定登录失败);}out.write(new
ObjectMapper().writeValueAsString(respBean));});filter.setAu***nticationManager(au***nticationManager());filter.setFilterProcessesUrl(/login);filter.setSecurityContextRepository(new
HttpSessionSecurityContextRepository());return
SecurityContextPersistenceFilter
{AutowiredAu***nticationManager
au***nticationManager;PostMapping(/doLogin)public
{UsernamePasswordAu***nticationToken
UsernamePasswordAu***nticationToken.unau***nticated(user.getUsername(),
au***nticationManager.au***nticate(unau***nticated);SecurityContextHolder.getContext().setAu***ntication(au***nticate);session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,
SecurityContextHolder.getContext());return
层方法上添加权限注解这样做的好处是实现简单但是有一个问题就是权限硬编码每一个方法需要什么权限都是代码中配置好的后期如果想通过管理页面修改是不可能的要修改某一个方法所需要的权限只能改代码。
将请求和权限的关系通过数据库来描述每一个请求需要什么权限都在数据库中配置好当请求到达的时候动态查询然后判断权限是否满足这样做的好处是比较灵活将来需要修改接口和权限之间的关系时可以通过管理页面点击几下问题就解决了不用修改代码松哥之前的
CustomFilterInvocationSecurityMetadataSource
FilterInvocationSecurityMetadataSource
中可提取出来然后根据权限表中的配置分析出来当前请求需要哪些权限并返回。
另外我还重写了一个决策器其实决策器也可以不重写就看你自己的需求如果
InsufficientAu***nticationException
方法就是做决策的地方第一个参数中可以提取出当前用户具备什么权限第三个参数是当前请求需要什么权限比较一下就行了如果当前用户不具备需要的权限则直接抛出
{http.authorizeRequests().withObjectPostProcessor(new
ObjectPostProcessorFilterSecurityInterceptor()
{object.setAccessDecisionManager(customUrlDecisionManager);object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);return
中用不了了不是因为类过期了而是因为类被移除了哪个类被移除了FilterSecurityInterceptor。
老实说新版的方案其实更合理一些传统的方案感觉带有很多前后端不分的影子现在就往更纯粹的前后端分离奔去。
securityFilterChain(HttpSecurity
{http.authorizeHttpRequests(register
register.anyRequest().access((au***ntication,
object.getRequest().getRequestURI();ListMenuWithRoleVO
menuService.getMenuWithRole();for
(antPathMatcher.match(m.getUrl(),
true;//说明找到了请求的地址了//这就是当前请求需要的角色ListRole
m.getRoles();//获取当前登录用户的角色Collection?
au***ntication.get().getAuthorities();for
(authority.getAuthority().equals(role.getName()))
AuthorizationDecision(true);}}}}}if
地址和数据库的地址没有匹配上对于这种请求统一只要登录就能访问if
AuthorizationDecision(true);}}return
AuthorizationDecision(false);})).formLogin(form
au***ntication很明显这就是当前登录成功的用户对象从这里我们就可以提取出来当前用户所具备的权限。
RequestAuthorizationContext从这个里边可以提取出来当前请求对象
AuthorizationDecision(true);否则返回
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
