Свойство "security.basic.enabled" устарело: автоматическая настройка безопасности больше не настраивается

Я работаю над проектом Spring Cloud, используя родительскую версию Spring -boot-starter 2.0.1.RELEASE.

Я получаю предупреждение ниже:

Свойство "security.basic.enabled" устарело: автоматическая настройка безопасности больше не настраивается. Вместо этого создайте свой собственный компонент WebSecurityConfigurer.

security: basic: enabled: false отключена в последней версии последней версии безопасности.

Не могли бы вы посоветовать мне, что я должен использовать вместо этого?

application.yml

---
server:
  port: 8888

security:
  basic:
    enabled: false

spring:
  cloud:
    config:
      server:
        git:
          uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls

          search-paths:
          - 'station*'
          repos:
            perf:
              pattern:
                - '*/perf'
              uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
              search-paths:
               - 'station*'

pom.xml

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.1.RELEASE</version>
        <relativePath /> <!-- lookup parent from repository -->
    </parent>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
        <spring-cloud.version>Finchley.BUILD-SNAPSHOT</spring-cloud.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-config-server</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>${spring-cloud.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

    <repositories>
        <repository>
            <id>spring-snapshots</id>
            <name>Spring Snapshots</name>
            <url>https://repo.spring.io/snapshot</url>
            <snapshots>
                <enabled>true</enabled>
            </snapshots>
        </repository>
        <repository>
            <id>spring-milestones</id>
            <name>Spring Milestones</name>
            <url>https://repo.spring.io/milestone</url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
        </repository>
    </repositories>

Вот мой тестовый класс.

@RunWith(SpringRunner.class)
@SpringBootTest
public class PluralsightSpringcloudM2ConfigserverGitApplicationTests {

    @Test
    public void contextLoads() {
    }

}

Это не имеет никакого отношения к другому вопросу

Ответ 1

Таким образом, я смог решить эту проблему. Не уверен, хотя. Я только что исправил application.yml

---
server:
  port: 8888


spring:
  cloud:
    config:
      server:
        git:
          uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls

          search-paths:
          - 'station*'
          repos:
            perf:
              pattern:
                - '*/perf'
              uri: https://github.com/rseroter/pluralsight-spring-cloudconfig-wa-tolls-perf
              search-paths:
               - 'station*'
  security:
    user:
      name: test
      password: test

Когда я обращаюсь к URL- адресу: http://localhost: 8888/s1rates/default, он попросил меня ввести имя пользователя и пароль, и я получаю результат ниже.

Ответ 2

Spring Boot 2.0 изменил свою автоматическую конфигурацию (включая некоторые свойства) и теперь имеет единственное поведение, которое отменяется, как только вы добавляете свой собственный WebSecurityConfigurerAdapter. Конфигурация по умолчанию выглядит так

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .httpBasic();
}

Один пользователь с сгенерированным паролем настроен по умолчанию. Чтобы настроить этого пользователя, используйте свойства в spring.security.user.

spring.security.user.name=user # Default user name.
spring.security.user.password= # Password for the default user name.
spring.security.user.roles= # Granted roles for the default user name.

Следующие свойства были удалены с Spring Boot 2:

security.basic.authorize-mode
security.basic.enabled
security.basic.path
security.basic.realm
security.enable-csrf
security.headers.cache
security.headers.content-security-policy
security.headers.content-security-policy-mode
security.headers.content-type
security.headers.frame
security.headers.hsts
security.headers.xss
security.ignored
security.require-ssl
security.sessions

Замены (если есть) можно найти здесь: Приложение A. Общие свойства приложения

Для ясности: если вы создаете пользовательский адаптер WebSecurityConfigurerAdapter, конфигурация безопасности по умолчанию будет заменена вашей пользовательской конфигурацией:

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // For example: Use only Http Basic and not form login.
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .httpBasic();
    }
}

Для получения дополнительной информации посетите Руководство по миграции Spring 2.0.

Ответ 3

Если вы используете Springiveive Security, нам нужно сделать что-то вроде этого,

@Bean
  public SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) {
    http.authorizeExchange().anyExchange().permitAll();
    return http.build();
  }

На этом есть еще одна запись stackoverflow, Spring Spring 2.0 отключает защиту по умолчанию

Ответ 4

Я бы попробовал следующее на вашем тестовом классе:

@SpringBootTest (свойства = "spring.autoconfigure.exclude = org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")

Это приведет к отключению автоконфигурации весенней безопасности в контексте вашего тестового класса.

EDIT: если это не ограничивается контекстом тестовых классов, то же самое можно применить к:

@SpringBootApplication (исключить = "org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration")

или иначе, в вашем приложении application.yaml, вы можете сделать:

spring.autoconfigure.exclude = org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration

Ответ 5

Это потому, что когда вы пишете security.basic.enabled = false вы в основном говорите приложению, что я не беспокоюсь о безопасности, и разрешаете все запросы, что когда-либо. После весенней загрузки 2.0 вы не можете просто написать эту 1 конфигурацию, чтобы сделать приложение небезопасным. Вам нужно написать код для этого. Или вы можете просто скопировать следующее.

package com.LockheedMartin.F22Simulator;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().permitAll();
    }
}