Свойство "security.basic.enabled" устарело: автоматическая настройка безопасности больше не настраивается
Я работаю над проектом Spring Cloud, используя родительскую версию Spring -boot-starter 2.0.1.RELEASE.
Я получаю предупреждение ниже:
Свойство "security.basic.enabled" устарело: автоматическая настройка безопасности больше не настраивается. Вместо этого создайте свой собственный компонент WebSecurityConfigurer.
security: basic: enabled: false отключена в последней версии последней версии безопасности.
Не могли бы вы посоветовать мне, что я должен использовать вместо этого?
application.yml
---
server:
port: 8888
security:
basic:
enabled: false
spring:
cloud:
config:
server:
git:
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls
search-paths:
- 'station*'
repos:
perf:
pattern:
- '*/perf'
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
search-paths:
- 'station*'
pom.xml
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.1.RELEASE</version>
<relativePath /> <!-- lookup parent from repository -->
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
<spring-cloud.version>Finchley.BUILD-SNAPSHOT</spring-cloud.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-config-server</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>${spring-cloud.version}</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
<repositories>
<repository>
<id>spring-snapshots</id>
<name>Spring Snapshots</name>
<url>https://repo.spring.io/snapshot</url>
<snapshots>
<enabled>true</enabled>
</snapshots>
</repository>
<repository>
<id>spring-milestones</id>
<name>Spring Milestones</name>
<url>https://repo.spring.io/milestone</url>
<snapshots>
<enabled>false</enabled>
</snapshots>
</repository>
</repositories>
![enter image description here]()
Вот мой тестовый класс.
@RunWith(SpringRunner.class)
@SpringBootTest
public class PluralsightSpringcloudM2ConfigserverGitApplicationTests {
@Test
public void contextLoads() {
}
}
и ![enter image description here]()
Это не имеет никакого отношения к другому вопросу
Ответы
Ответ 1
Таким образом, я смог решить эту проблему. Не уверен, хотя. Я только что исправил application.yml
---
server:
port: 8888
spring:
cloud:
config:
server:
git:
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls
search-paths:
- 'station*'
repos:
perf:
pattern:
- '*/perf'
uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
search-paths:
- 'station*'
security:
user:
name: test
password: test
Когда я обращаюсь к URL- адресу: http://localhost: 8888/s1rates/default, он попросил меня ввести имя пользователя и пароль, и я получаю результат ниже.
![enter image description here]()
Ответ 2
Spring Boot 2.0 изменил свою автоматическую конфигурацию (включая некоторые свойства) и теперь имеет единственное поведение, которое отменяется, как только вы добавляете свой собственный WebSecurityConfigurerAdapter. Конфигурация по умолчанию выглядит так
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
Один пользователь с сгенерированным паролем настроен по умолчанию. Чтобы настроить этого пользователя, используйте свойства в spring.security.user.
spring.security.user.name=user # Default user name.
spring.security.user.password= # Password for the default user name.
spring.security.user.roles= # Granted roles for the default user name.
Следующие свойства были удалены с Spring Boot 2:
security.basic.authorize-mode
security.basic.enabled
security.basic.path
security.basic.realm
security.enable-csrf
security.headers.cache
security.headers.content-security-policy
security.headers.content-security-policy-mode
security.headers.content-type
security.headers.frame
security.headers.hsts
security.headers.xss
security.ignored
security.require-ssl
security.sessions
Замены (если есть) можно найти здесь: Приложение A. Общие свойства приложения
Для ясности: если вы создаете пользовательский адаптер WebSecurityConfigurerAdapter, конфигурация безопасности по умолчанию будет заменена вашей пользовательской конфигурацией:
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// For example: Use only Http Basic and not form login.
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
}
}
Для получения дополнительной информации посетите Руководство по миграции Spring 2.0.
Ответ 3
Если вы используете Springiveive Security, нам нужно сделать что-то вроде этого,
@Bean
public SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
http.authorizeExchange().anyExchange().permitAll();
return http.build();
}
На этом есть еще одна запись stackoverflow, Spring Spring 2.0 отключает защиту по умолчанию
Ответ 4
Я бы попробовал следующее на вашем тестовом классе:
@SpringBootTest (свойства = "spring.autoconfigure.exclude = org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")
Это приведет к отключению автоконфигурации весенней безопасности в контексте вашего тестового класса.
EDIT: если это не ограничивается контекстом тестовых классов, то же самое можно применить к:
@SpringBootApplication (исключить = "org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")
или иначе, в вашем приложении application.yaml, вы можете сделать:
spring.autoconfigure.exclude = org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration
Ответ 5
Это потому, что когда вы пишете security.basic.enabled = false вы в основном говорите приложению, что я не беспокоюсь о безопасности, и разрешаете все запросы, что когда-либо. После весенней загрузки 2.0 вы не можете просто написать эту 1 конфигурацию, чтобы сделать приложение небезопасным. Вам нужно написать код для этого. Или вы можете просто скопировать следующее.
package com.LockheedMartin.F22Simulator;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().permitAll();
}
}
