从配置文件到配置类：Spring Boot Security 的权限控制演进

张开发

• 2026/4/18 18:31:45 • 15 分钟阅读

分享文章

1. Spring Security 的配置文件时代记得我第一次用 Spring Security 是在五年前的一个内部管理系统项目上。当时为了快速上线直接在 application.yml 里写死了用户名密码就像这样spring: security: user: name: admin password: 123456 roles: ADMIN这种配置方式简单粗暴到什么程度呢你甚至不需要写任何 Java 代码只要引入了 spring-boot-starter-security 依赖系统就会自动弹出一个默认登录页。我当年就是被这种开箱即用的特性惊艳到了但很快就在实际项目中碰了钉子。内存用户的局限性在真实场景中会立刻暴露密码明文存储连 base64 编码都没有用户信息硬编码在配置文件里每次修改用户都要重启服务角色权限是写死的字符串更麻烦的是 URL 权限控制。比如你想让/api/public允许匿名访问/api/admin需要管理员权限在纯配置文件中几乎无法实现。这时候就得请出 WebSecurityConfigurerAdapter 这个老朋友了。2. 配置类真正的生产级方案2.1 基础配置类搭建先看一个典型的 SecurityConfig 骨架Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(/public/**).permitAll() .antMatchers(/admin/**).hasRole(ADMIN) .anyRequest().authenticated() .and() .formLogin(); } }这个配置类做了三件大事开放/public路径的匿名访问限制/admin路径仅限 ADMIN 角色访问其他所有请求都需要登录关键进化点在于权限规则可编程化能用 if-else 逻辑支持方法级注解控制后面会讲可以集成数据库用户体系2.2 用户认证的三种姿势配置类最大的优势是能灵活定义用户来源。我整理过三种常见方案方案适用场景示例代码片段内存用户测试环境auth.inMemoryAuthentication()JDBC 认证中小型生产系统auth.jdbcAuthentication()自定义 UserDetails复杂权限系统auth.userDetailsService()最推荐的是第三种自定义实现。比如对接公司 LDAP 或自定义权限表时Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(myUserService) .passwordEncoder(bCryptPasswordEncoder()); }3. 方法级权限控制实战URL 级别的控制还不够精细试试方法注解PreAuthorize(hasRole(ADMIN) or #userId authentication.name) public User getUserProfile(String userId) { // 仅管理员或用户本人可访问 }注解三剑客的适用场景PreAuthorize方法执行前校验最常用PostAuthorize方法执行后校验较少用Secured简单角色校验Spring 原生注解特别注意要启用这些注解必须在配置类加上EnableGlobalMethodSecurity( prePostEnabled true, // 开启Pre/Post注解 securedEnabled true // 开启Secured )4. 现代 Spring Security 的最佳实践最近两年 Spring Security 又有新变化。比如 WebSecurityConfigurerAdapter 已经被标记为过时推荐使用组件式配置Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { return http .authorizeHttpRequests(auth - auth .requestMatchers(/public/**).permitAll() .anyRequest().authenticated() ) .formLogin(withDefaults()) .build(); }新旧版本对比表特性旧版 (5.7)新版 (6.0)配置方式继承抽象类组件式 Bean请求匹配antMatchersrequestMatchers密码编码器需要显式配置强制要求加密CSRF 防护默认开启默认关闭升级时最容易踩的坑是密码编码器。新版强制要求必须配置推荐使用Bean PasswordEncoder passwordEncoder() { return PasswordEncoderFactories.createDelegatingPasswordEncoder(); }在实际项目中我通常会额外配置这些安全防护会话固定保护session fixation点击劫持防护X-Frame-Options内容安全策略CSP 头部安全请求头HSTS 等这些配置现在都可以通过 lambda DSL 流畅地表达http.securityContext(context - context .requireExplicitSave(false)) .headers(headers - headers .frameOptions().sameOrigin() .contentSecurityPolicy(csp - csp .policyDirectives(default-src self))) .csrf(csrf - csrf.ignoringRequestMatchers(/api/**));从配置文件到配置类再到现在的组件式配置Spring Security 的演进始终围绕着两个核心目标安全性的强化和开发体验的优化。每次升级都意味着更少的样板代码和更精确的安全控制这才是框架设计的艺术。

从配置文件到配置类：Spring Boot Security 的权限控制演进

最新文章

别再只用RSA了！聊聊Curve25519和Ed25519这对‘安全快车道’兄弟

SRS实战-构建GB28181视频监控网关

Tessent ATPG实战：设计规则检查(DRC)的深度解析与调试指南

openMVS-- RefineMesh 核心算法解析与实战优化指南

【BurpSuite安装避坑指南】从JDK配置到License激活，一站式解决Run不动、无法识别等典型故障

提升Sentaurus仿真效率：多线程与日志输出配置实战指南

推荐文章

龙虾白嫖指南，请查收~勘

AI Agent在金融科技领域的应用实践：风控、投顾与合规

Unity3D动画插件DoTween进阶应用与性能优化指南

超表面贝塞尔光束生成系统代码功能深度解析

【5G系列】深入解析NAS层UAC：Access Identity与Access Category的获取机制

Spring with AI (): 搜索扩展——向量数据库与RAG(下)肺

相关文章

别再死记硬背MIPI状态转换图了！用Python脚本模拟单向/双向Data Lane状态机

HuggingFace模型下载终极优化：Autodl服务器上的国内镜像与断点续传技巧

Python EXE逆向解密深度解析：从加密打包到源码还原的完整流程

基于 Python 与 PyQt5 构建的特斯拉行车记录仪视频播放器

别再搞混了！PyTorch里CrossEntropyLoss和NLLLoss到底该用哪个？（附代码对比）

别再为Linux打印机驱动烦恼：foo2zjs开源驱动彻底解决兼容性问题

分享文章

更多文章

3步免费解锁WeMod Pro高级功能的完整指南：终极WeMod增强工具使用教程

巨头压境：当亚马逊细分冠军遭遇平台性巨头的“降维打击”

企业 AI 成本优化为什么要先做任务分层

Audacity音频编辑实战：从零基础到专业级创作的完整路径

拉曼光谱入门：8.激发波长选择—532/785/1064nm的博弈

G-Helper：华硕笔记本性能调优的轻量级革命，三步解锁硬件控制新境界

《作业2》

如何用Beaver Notes打造终极隐私笔记系统：3个简单步骤保护你的数字思想

Codex大更新：从代码编写工具变身跨应用任务系统，AI“动手”改变工作方式

告别设备切换烦恼：5分钟掌握Input Leap跨平台键鼠共享

用GraphQL替代RESTful API，我们得到了什么又失去了什么？

【S32K3实战指南】LPSPI外设配置与多从机通信设计