Spring boot Security ปิดใช้งานความปลอดภัย

เมื่อฉันใช้security.basic.enabled = falseเพื่อปิดใช้งานการรักษาความปลอดภัยบนโปรเจ็กต์ Spring Boot ที่มีการอ้างอิงต่อไปนี้:

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
    <dependency>
        <groupId>com.oracle</groupId>
        <artifactId>ojdbc6</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-tomcat</artifactId>
        <scope>provided</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

ฉันเห็นข้อยกเว้นต่อไปนี้:

org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'org.springframework.boot.actuate.autoconfigure.ManagementSecurityAutoConfiguration$ManagementWebSecurityConfigurerAdapter': Injection of autowired dependencies failed; nested exception is org.springframework.beans.factory.BeanCreationException: Could not autowire method: public void org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter.setObjectPostProcessor(org.springframework.security.config.annotation.ObjectPostProcessor); nested exception is org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying bean of type [org.springframework.security.config.annotation.ObjectPostProcessor] found for dependency: expected at least 1 bean which qualifies as autowire candidate for this dependency. Dependency annotations: {}

เพื่อแก้ไขข้อยกเว้นนี้ผมต้องเพิ่มคุณสมบัติ - management.security.enabled = false ความเข้าใจของฉันคือเมื่อตัวกระตุ้นอยู่ใน classpath ควรตั้งค่าทั้งsecurity.basic.enabled = falseและmanagement.security.enabled = falseเพื่อปิดใช้งานการรักษาความปลอดภัย

ใครก็ได้โปรดแจ้งให้ฉันทราบหากความเข้าใจของฉันไม่ถูกต้อง

สิ่งที่ดูเหมือนว่าจะทำงานได้ดีคือการสร้างไฟล์application-dev.propertiesที่มี:

security.basic.enabled=false
management.security.enabled=false

หากคุณเริ่มแอป Spring Boot ด้วยdevโปรไฟล์คุณไม่จำเป็นต้องเข้าสู่ระบบ

ในกรณีที่คุณมีสปริงบูต - แอคชูเอเตอร์ในแพ็คเกจของคุณคุณควรเพิ่มสิ่งต่อไปนี้

@EnableAutoConfiguration(exclude = {
        org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class,
        org.springframework.boot.actuate.autoconfigure.ManagementWebSecurityAutoConfiguration.class})

ManagementSecurityAutoConfigurationกับฤดูใบไม้ผลิเก่าบูตระดับที่เรียกว่า

ในเวอร์ชันที่ใหม่กว่าสิ่งนี้ได้เปลี่ยนเป็น

@SpringBootApplication(exclude = {
        org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class,
        org.springframework.boot.actuate.autoconfigure.security.servlet.ManagementWebSecurityAutoConfiguration.class}
        )

หากคุณต้องการความปลอดภัยเป็นที่พึ่ง แต่ไม่ต้องการให้ Spring Boot กำหนดค่าให้คุณคุณสามารถใช้การยกเว้นนี้:

    @EnableAutoConfiguration(exclude = { 
        org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class 
    })

สำหรับSpring Boot 2คุณสมบัติต่อไปนี้เลิกใช้ในการกำหนดค่าapplication.yml

  security.basic.enabled: false
  management.security.enabled: false

หากต้องการปิดใช้งานการรักษาความปลอดภัยสำหรับSprint Boot 2 Basic + Actuator Securityคุณสมบัติต่อไปนี้สามารถใช้ในไฟล์application.ymlแทนการยกเว้นตามคำอธิบายประกอบ (@EnableAutoConfiguration (exclude = {SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class}))

  spring:
    autoconfigure:
      exclude[0]: org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
      exclude[1]: org.springframework.boot.actuate.autoconfigure.security.servlet.ManagementWebSecurityAutoConfiguration

สำหรับไวยากรณ์application.propertiesจะเป็นเช่นนี้

spring.autoconfigure.exclude[0]=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

สำหรับผู้ใช้สปริงบูต 2 จะต้องมี

@EnableAutoConfiguration(exclude = {
    org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class
})

ขั้นตอนที่ 1: คำอธิบายประกอบความคิดเห็น @EnableWebSecurity ในการกำหนดค่าความปลอดภัยของคุณ

//@EnableWebSecurity

ขั้นตอนที่ 2: เพิ่มสิ่งนี้ลงในไฟล์application.propertiesของคุณ

security.ignored=/**
spring.security.enabled=false
management.security.enabled=false
security.basic.enabled=false

ดูรายละเอียดเพิ่มเติมได้ที่นี่: http://codelocation.com/how-to-turn-on-and-off-spring-security-in-spring-boot-application/

เพิ่มคลาสต่อไปนี้ลงในโค้ดของคุณ

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author vaquar khan
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers("/**").permitAll().anyRequest().authenticated().and().csrf().disable();
    }

}

และส่วนในของ application.properties เพิ่ม

security.ignored=/**
security.basic.enabled=false
management.security.enabled=false

หากคุณใช้@WebMvcTestคำอธิบายประกอบในชั้นเรียนทดสอบของคุณ

@EnableAutoConfiguration(exclude = { SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class })
@TestPropertySource(properties = {"spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration"})

ไม่ได้ช่วยคุณ

คุณสามารถปิดใช้งานความปลอดภัยได้ที่นี่

@WebMvcTest(secure = false)

คำตอบคืออนุญาตคำขอทั้งหมดใน WebSecurityConfigurerAdapter ดังต่อไปนี้

คุณสามารถทำได้ในชั้นเรียนที่มีอยู่หรือในชั้นเรียนใหม่

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().permitAll();
    }

โปรดทราบ: ถ้าเธอเป็นคลาส GlobalMethodSecurityConfiguration คุณต้องปิดการใช้งาน

อนุญาตให้เข้าถึงทุกอย่างโดยใช้ antMatchers ("/")

     protected void configure(HttpSecurity http) throws Exception {
            System.out.println("configure");
                    http.csrf().disable();
                    http.authorizeRequests().antMatchers("/").permitAll();
        }

ฉันก็เพิ่มsecurity.ignored=/**ในapplication.propertiesและที่ไม่ได้มีเสน่ห์

เพื่อหลีกเลี่ยงความปลอดภัยคุณสามารถใช้คำอธิบายประกอบ ใช้คำอธิบายประกอบนี้ที่ด้านบนของคลาสกำหนดค่า:

@EnableWebSecurity

ตัวอย่างเช่น:

@EnableWebSecurity
@Configuration
public class AuthFilter{
   // configured method 
}

คุณต้องเพิ่มรายการนี้ในapplication.propertiesเพื่อข้ามSpringboot Default Security

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration

จากนั้นจะไม่มีกล่องรับรองความถูกต้อง otrws ข้อมูลประจำตัวคือ: - userและ99b962fa-1848-4201-ae67-580bdeae87e9 (สร้างรหัสผ่านแบบสุ่ม)

Note: my springBootVersion = '1.5.14.RELEASE'

คุณสามารถกำหนดค่าเพื่อสลับการรักษาความปลอดภัยสปริงในโปรเจ็กต์ของคุณได้โดยทำตาม 2 ขั้นตอนด้านล่าง:

ขั้นตอนที่ 1: เพิ่ม@ConditionalOnPropertyคำอธิบายประกอบที่ด้านบนของคลาส SecurityConfig ของคุณ ดูด้านล่าง:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity (prePostEnabled = true)
@ConditionalOnProperty (name = "myproject.security.enabled", havingValue = "true", matchIfMissing = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   // your security config
}

ขั้นตอนที่ 2: เพิ่มการกำหนดค่าต่อไปนี้ในไฟล์application.propertiesหรือapplication.ymlไฟล์ของคุณ

application.properties

security.ignored=/**
myproject.security.enabled=false

หรือ

application.yml

security:
  ignored: /**

myproject:
  security:
    enabled: false

สิ่งเดียวที่เหมาะกับฉัน:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable().authorizeRequests().anyRequest().permitAll();
    }

และ

security.ignored=/**

อาจเป็นไปได้ว่าส่วนคุณสมบัติซ้ำซ้อนหรือสามารถทำได้ในโค้ด แต่ไม่มีเวลาทดลอง ยังไงก็ได้ชั่วคราว

วิธีที่ง่ายที่สุดสำหรับ Spring Boot 2 โดยไม่มีการอ้างอิงหรือการเปลี่ยนแปลงรหัสมีเพียง:

spring:
  autoconfigure:
    exclude: org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

เพิ่มบรรทัดด้านล่างลงในแอปหลักของคุณ

ลบ org.activiti.spring.boot.SecurityAutoConfiguration.class ถ้าคุณไม่ได้ใช้ activiti

ในทำนองเดียวกันให้ลบหนึ่งสำหรับแอคชูเอเตอร์หากคุณไม่ได้ใช้สปริงบูต - แอคชูเอเตอร์

@EnableAutoConfiguration(exclude = {
org.activiti.spring.boot.SecurityAutoConfiguration.class,
org.springframework.boot.actuate.autoconfigure.ManagementWebSecurityAutoConfiguration.class,
org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration.class })

ตามที่ก่อนหน้านี้มีหลายวิธีที่กล่าวถึงเพื่อปิดการรักษาความปลอดภัยผ่านการแสดงความคิดเห็น

@EnableWebSecurity

คำอธิบายประกอบและอื่น ๆ ผ่านคุณสมบัติใน application.properties หรือ yml แต่คุณสมบัติเหล่านั้นแสดงว่าเลิกใช้แล้วในเวอร์ชันสปริงบูตล่าสุด

ดังนั้นฉันต้องการแบ่งปันวิธีการอื่นในการกำหนดค่าชื่อผู้ใช้และรหัสผ่านเริ่มต้นในapplication-dev.propertiesหรือapplication-dev.yml ของคุณและใช้เพื่อล็อกอินเข้าสู่ swagger และอื่น ๆ ในสภาพแวดล้อมการพัฒนา

spring.security.user.name=admin
spring.security.user.password=admin

ดังนั้นวิธีนี้จะให้ความปลอดภัยบางอย่างแก่คุณเช่นกันและคุณสามารถแบ่งปันข้อมูลนี้กับทีมพัฒนาของคุณได้ คุณยังสามารถกำหนดค่าบทบาทของผู้ใช้ได้เช่นกัน แต่ไม่จำเป็นต้องใช้ในระดับการพัฒนา

ฉันเพิ่มการตั้งค่าด้านล่างใน application.yml และทำงานได้ดี

security:
    route-patterns-to-be-skipped:
      - /**/*

สิ่งนี้สามารถแปลงเป็นsecurity.route-paterns-to-be-skipped=/**/*สำหรับ application.properties