1、简介

• 在Spring Security中，WebSecurityConfigurerAdapter 类是一个配置适配器，它提供了多种 configure 方法的重载，允许开发者以声明性的方式配置Web安全。

2、相关规则

1. configure(WebSecurity web)

此方法用于配置哪些请求应该被Spring Security的过滤器链忽略。这通常用于静态资源（如CSS、JS、图片等），这些资源不需要进行安全认证。

@Override  
public void configure(WebSecurity web) throws Exception {  web.ignoring()  .antMatchers("/css/**", "/js/**", "/images/**", "/favicon.ico");  
}

2. configure(HttpSecurity http)

这是 WebSecurityConfigurerAdapter 中最重要的 configure 方法之一，它用于配置HTTP安全。通过这个方法，你可以定义哪些URL模式需要被保护，以及如何进行身份验证和授权。

@Override  
protected void configure(HttpSecurity http) throws Exception {  http  // 启用CSRF保护  .csrf().disable() // 注意：出于示例目的，这里禁用了CSRF保护，实际项目中应启用  // 配置请求授权  .authorizeRequests()  .antMatchers("/login", "/register", "/public/**").permitAll() // 这些URL允许匿名访问  .anyRequest().authenticated() // 其他所有请求都需要认证  .and()  // 配置表单登录  .formLogin()  .loginPage("/login") // 自定义登录页面  .defaultSuccessUrl("/home", true) // 登录成功后的默认跳转页面  .failureUrl("/login-error") // 登录失败后的页面  .permitAll() // 允许所有人访问登录页面  .and()  // 配置登出  .logout()  .logoutUrl("/logout") // 登出请求的URL  .logoutSuccessUrl("/login?logout") // 登出成功后的跳转页面  .permitAll() // 允许所有人访问登出功能  .and()  // 添加HTTP安全头部  .headers()  .frameOptions().deny() // 禁止iframe  .and()  // 会话管理  .sessionManagement()  .invalidSessionUrl("/invalid-session"); // 无效会话时的跳转页面  
}

3. configure(AuthenticationManagerBuilder auth)

此方法用于配置认证管理器（AuthenticationManager），它决定了如何对用户进行身份验证。可以通过它来定义用户信息的来源（如内存、数据库、LDAP等）和密码的加密方式。

@Autowired  
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {  // 使用内存中的用户进行认证  auth  .inMemoryAuthentication()  .withUser("user").password("{noop}password").roles("USER")  .and()  .withUser("admin").password("{noop}admin").roles("USER", "ADMIN");  // 或者使用自定义的用户详情服务  // auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());  
}  @Bean  
public PasswordEncoder passwordEncoder() {  return new BCryptPasswordEncoder();  
}