@Commande(SecurityProperties.ACCESS_OVERRIDE_ORDER) vs ManagementServerProperties.ACCESS_OVERRIDE_ORDER au Printemps de Sécurité

Question1: Au Printemps de Sécurité, quelle est exactement la fonction

@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)

Printemps États de Documentation ci-dessous, mais je ne suis pas sûr de comprendre clairement

Pour remplacer les règles d'accès sans changer les autres configurée automatiquement dispose d'ajouter un @Bean de type WebSecurityConfigurerAdapter avec @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER).

La commande des diverses fonctions de sécurité dans le Ressort de Sécurité sont en tant que ci-dessous selon ma compréhension (LowestValue c'est à dire la Plus haute Priorité à la Valeur la Plus élevée c'est à dire la plus basse Priorité)

  1. Ordered.HIGHEST_PRECEDENCE = -2^31-1
  2. WebSecurityConfigurerAdapter = 100 (Basé sur @Commande(100) mentionné dans les Docs)
    1. Access_Override_Order = Basic_Auth_Order -2 pour Propriétés de Sécurité
    2. Access_Override_Order = Basic_Auth_Order -1 pour ManagementServerProperties
      Basic_Auth_Order-2 = 2^31-7
  3. Basic_Auth_Order = Ordered.Lowest_Precendence -5 = 2^31-5
  4. Ordered.LOWEST_PRECEDENCE = 2^31

Question2
En fonction de l'organisation de divers dispositifs de sécurité ci-dessus, Si je veux remplacer les règles par défaut pour la Gestion des points de terminaison et le Reste de l'application, dois-je utiliser

  • SecurityPropertiesACCESS_OVERRIDe_order ou
  • ManagementServerProperties ACCESS_OVERRIDE_ORDER ?

Je suis actuellement en utilisant SecurityProperties ACCESS_OVERRIDE_ORDER mais basé sur la suggestion ici pour obtenir de l'ACTIONNEUR de travail que j'ai besoin d'activer ManagementServerProperties ACCESS_OVERRIDE_ORDER. Lequel dois-je remplacer si je veux à la fois de travail ?

Grâce.

InformationsquelleAutor HopeKing | 2017-08-06
  1. 9

    T1. Question1: Au Printemps de Sécurité, exactement ce que fait l'annotation @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER) faire?

    Ce qu'il fait est bien expliqué dans la documentation que vous avez cité.

    Pour remplacer les règles d'accès sans changer les autres configurée automatiquement dispose d'ajouter un @Bean de type WebSecurityConfigurerAdapter avec @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER).

    Mais alors WebSecurityConfigurerAdapter, qui a @Order(100), est prioritaire.

    Pas.

    Vous devez être prudent au sujet de cette partie autoconfigured features. À l'aide de @EnableAutoConfiguration qui est une partie de @SpringBootApplication, beaucoup de choses sont auto-configuré et 100 n'est pas un auto-configuré valeur, mais une valeur codée en dur sur le WebSecurityConfigurerAdapter classe.

    Vous pouvez trouver l'ordre des valeurs utilisées pour l'auto-configuration pour le Printemps de Sécurité dans SecurityProperties classe et vous pouvez voir que la valeur de ACCESS_OVERRIDE_ORDER est le plus bas, ce qui signifie qu'il prend la priorité la plus élevée.

    Où sont-ils auto-confitured?

    Vous pouvez trouver que @Order(SecurityProperties.BASIC_AUTH_ORDER) est utilisé dans SpringBootWebSecurityConfiguration classe.

    Alors quand est-ce que l'annotation @Order(100) de WebSecurityConfigurerAdapter utilisé?

    Par exemple, si vous désactivez la fonction d'auto-configuration en ajoutant @EnableWebSecurity, la valeur devrait être utilisé. Comme la valeur 100 prend trop haute priorité, il serait mieux de mettre @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER) annotation dans votre classe personnalisée dans le cas.

    T2. En fonction de l'organisation de divers dispositifs de sécurité ci-dessus, Si je veux remplacer les règles par défaut pour la Gestion des points de terminaison et le Reste de l'application, que dois-je utiliser

    Utilisation ManagementServerProperties ACCESS_OVERRIDE_ORDER.

    Il est prioritaire, donc vous devez les utiliser si vous souhaitez remplacer les règles par défaut pour tous les points de fin. Vous pouvez voir comment les valeurs sont définies si vous ouvrez le ManagementServerProperties classe.

    Dans SecurityProperties

    int ACCESS_OVERRIDE_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 2; //39
int BASIC_AUTH_ORDER = Ordered.LOWEST_PRECEDENCE - 5; //41

    Dans ManagementServerProperties

    int BASIC_AUTH_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 5; //36
int ACCESS_OVERRIDE_ORDER = ManagementServerProperties.BASIC_AUTH_ORDER - 1; //35

    Dans le commentaire, 39 signifie 21474839, j'ai omis les 6 premiers chiffres pour des raisons de lisibilité.

    • Semble comme SecurityProperties.ACCESS_OVERRIDE_ORDER n'existe plus. Nous pourrions utiliser SecurityProperties.BASIC_AUTH_ORDER - 2 pour obtenir le même effet?
    InformationsquelleAutor Sanghyun Lee
  2. 2

    SecurityProperties plus définit la ACCESS_OVERRIDE_ORDER constante pour le @Afin d'annotation. Toutefois, le Printemps de Démarrage n'est plus définit les détails de sécurité, si l'application n', donc nous n'avons pas besoin de l' @Afin d'annotation sur la sécurité @classe de Configuration et peut être retiré.

    InformationsquelleAutor Ajay Khetan