以下步骤与有关如何配置和相关组件的更改相关。HttpSecurityWebSecuritySpring中文文档

使用 Lambda DSL

Lambda DSL 自 5.2 版起就存在于 Spring Security 中,它允许使用 lambda 配置 HTTP 安全性。Spring中文文档

您可能已经在 Spring Security 文档或示例中看到过这种配置方式。 让我们看一下 HTTP 安全性的 lambda 配置与以前的配置样式相比如何。Spring中文文档

使用 lambda 进行配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/blog/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(formLogin -> formLogin
                .loginPage("/login")
                .permitAll()
            )
            .rememberMe(Customizer.withDefaults());

        return http.build();
    }
}
不使用 lambda 的等效配置
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests()
                .requestMatchers("/blog/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .rememberMe();

        return http.build();
    }
}

Lambda DSL 是配置 Spring Security 的首选方式,之前的配置样式在需要使用 Lambda DSL 的 Spring Security 7 中无效。 这样做主要有几个原因:Spring中文文档

  • 以前的方式是不清楚配置了什么对象,不知道返回类型是什么。 嵌套越深,就越令人困惑。 即使是有经验的用户也会认为他们的配置在做一件事,而实际上,它正在做另一件事。Spring中文文档

  • 一致性。 许多代码库在两种样式之间切换,这导致了不一致,使理解配置变得困难,并经常导致配置错误。Spring中文文档

Lambda DSL 配置提示

在比较上述两个示例时,您会注意到一些关键差异:Spring中文文档

  • 在 Lambda DSL 中,无需使用该方法链接配置选项。 调用 lambda 方法后,将自动返回实例以进行进一步配置。.and()HttpSecuritySpring中文文档

  • Customizer.withDefaults()使用 Spring Security 提供的默认值启用安全功能。 这是 lambda 表达式的快捷方式。it → {}Spring中文文档

WebFlux 安全

您也可以以类似的方式使用 lambda 配置 WebFlux 安全性。 下面是使用 lambda 的配置示例。Spring中文文档

使用 lambda 的 WebFlux 配置
@Configuration
@EnableWebFluxSecurity
public class SecurityConfig {

    @Bean
    public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        http
            .authorizeExchange(exchanges -> exchanges
                .pathMatchers("/blog/**").permitAll()
                .anyExchange().authenticated()
            )
            .httpBasic(Customizer.withDefaults())
            .formLogin(formLogin -> formLogin
                .loginPage("/login")
            );

        return http.build();
    }

}

Lambda DSL 的目标

Lambda DSL 的创建是为了实现以下目标:Spring中文文档

用于自定义 DSL 而不是自定义 DSL.with().apply()

在 6.2 之前的版本中,如果您有自定义 DSL,则会将其应用于 using 方法。 但是,从版本 6.2 开始,此方法已弃用,并将在 7.0 中删除,因为不再可能使用删除一次来链接配置(请参阅 github.com/spring-projects/spring-security/issues/13067)。 相反,建议使用新方法。 有关如何使用的更多信息,请参阅自定义 DSL 部分HttpSecurityHttpSecurity#apply(…​).and().and().with(…​).with(…​)Spring中文文档