Spring中的@Order（SecurityProperties.ACCESS_OVERRIDE_ORDER）与ManagementServerProperties.ACCESS_OVERRIDE_ORDER

Q1. Question1: In Spring Security, what exactly does the annotation @Order(SecurityProperties.ACCESS_OVERRIDE_ORDER) do?

它所做的工作在你引用的文档中得到了很好的解释。

要在不更改任何其他自动配置功能的情况下覆盖访问规则，请使用@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)添加类型为WebSecurityConfigurerAdapter的@Bean。

但是，拥有WebSecurityConfigurerAdapter的@Order(100)优先考虑。

没有。

你应该小心这部分autoconfigured features。使用@EnableAutoConfiguration是@SpringBootApplication的一部分，很多东西都是自动配置的，100不是自动配置的值，而是WebSecurityConfigurerAdapter类的硬编码值。

您可以在SecurityProperties类中找到用于自动配置Spring Security的订单值，您可以发现ACCESS_OVERRIDE_ORDER的值最低，这意味着它具有最高优先级。

他们在哪里自动配置？

你可以发现@Order(SecurityProperties.BASIC_AUTH_ORDER)用于SpringBootWebSecurityConfiguration类。

那么什么时候使用@Order(100)的注释WebSecurityConfigurerAdapter？

例如，如果通过添加@EnableWebSecurity禁用自动配置，则将使用该值。由于100的值太高优先级，所以最好将@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)注释放在自定义类中。

Q2. Based on the ordering of various security features above, If I want to override default rules for both Management Endpoints and the Rest of the application, what should I use

使用ManagementServerProperties ACCESS_OVERRIDE_ORDER。

它需要更高的优先级，因此如果要覆盖所有端点的默认规则，则必须使用它。如果打开ManagementServerProperties类，可以看到如何设置值。

在SecurityProperties

int ACCESS_OVERRIDE_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 2; // 39
int BASIC_AUTH_ORDER = Ordered.LOWEST_PRECEDENCE - 5; // 41

在ManagementServerProperties

int BASIC_AUTH_ORDER = SecurityProperties.BASIC_AUTH_ORDER - 5; // 36
int ACCESS_OVERRIDE_ORDER = ManagementServerProperties.BASIC_AUTH_ORDER - 1; // 35

在评论中，39表示21474839，为了便于阅读，我省略了前6位数字。

SecurityProperties不再为@Order注释定义ACCESS_OVERRIDE_ORDER常量。但是，如果应用程序执行，Spring Boot不再定义任何安全性详细信息，因此我们不需要在安全性@Configuration类上使用@Order注释，并且可以将其删除。