Spring Securityの@Order（SecurityProperties.ACCESS_OVERRIDE_ORDER）vs ManagementServerProperties.ACCESS_OVERRIDE_ORDER

Q1。質問1：Spring Securityでは、注釈@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)は正確に何をしますか？

それが何をするかは、引用したドキュメントで詳しく説明されています。

他の自動構成機能を変更せずにアクセスルールをオーバーライドするには、@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)を使用してWebSecurityConfigurerAdapterタイプの@Beanを追加します。

ただし、@Order(100)を持つWebSecurityConfigurerAdapterはより高い優先度を持ちます。

番号。

この部分_autoconfigured features_に注意する必要があります。 _@EnableAutoConfiguration_の一部である_@SpringBootApplication_を使用すると、多くのことが自動構成され、_100_は自動構成された値ではなく、WebSecurityConfigurerAdapterクラス。

SecurityPropertiesクラスでSpring Securityの自動設定に使用される順序値を見つけることができ、_ACCESS_OVERRIDE_ORDER_の値が最低であることがわかります。つまり、最高の優先順位を取ります。

自動構成はどこですか？

@Order(SecurityProperties.BASIC_AUTH_ORDER)がSpringBootWebSecurityConfigurationクラスで使用されていることがわかります。

その後、WebSecurityConfigurerAdapterの注釈@Order(100)が使用されるのはいつですか？

たとえば、_@EnableWebSecurity_を追加して自動構成を無効にすると、値が使用されます。値_100_の優先度が高すぎるため、ケースのカスタムクラスに@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)アノテーションを追加した方が良いでしょう。

Q2。上記のさまざまなセキュリティ機能の順序に基づいて、管理エンドポイントとアプリケーションの残りの両方のデフォルトルールを上書きする場合、何を使用する必要がありますか

_ManagementServerProperties ACCESS_OVERRIDE_ORDER_を使用します。

優先度が高いため、すべてのエンドポイントのデフォルトルールを上書きする場合は使用する必要があります。 ManagementServerPropertiesクラスを開くと、値がどのように設定されているかを確認できます。

SecurityProperties

_int ACCESS_OVERRIDE_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 2; // 39
int BASIC_AUTH_ORDER = Ordered.LOWEST_PRECEDENCE - 5; // 41
_

ManagementServerProperties

_int BASIC_AUTH_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 5; // 36
int ACCESS_OVERRIDE_ORDER = ManagementServerProperties.BASIC_AUTH_ORDER - 1; // 35
_

コメントでは、_39_は_21474839_を意味し、読みやすくするために最初の6桁を省略しました。