对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cn

HTTP 协议

所有基于 HTTP 的通信都应使用 TLS 进行保护。spring-doc.cn

您可以在下面找到有关有助于使用 HTTPS 的 WebFlux 特定功能的详细信息。spring-doc.cn

重定向到 HTTPS

如果 Client 端使用 HTTP 而不是 HTTPS 发出请求,则可以将 Spring Security 配置为重定向到 HTTPS。spring-doc.cn

例如,以下 Java 配置会将任何 HTTP 请求重定向到 HTTPS:spring-doc.cn

重定向到 HTTPS
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(withDefaults());
	return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps { }
    }
}

该配置可以很容易地包裹在 if 语句周围,以便仅在生产环境中打开。 或者,也可以通过查找仅在 production 中发生的请求的属性来启用它。 例如,如果生产环境添加一个名为以下的 Headers,则可以使用 Java Configuration:X-Forwarded-Protospring-doc.cn

在 X 转发时重定向到 HTTPS
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(redirect -> redirect
			.httpsRedirectWhen(e -> e.getRequest().getHeaders().containsKey("X-Forwarded-Proto"))
		);
	return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps {
            httpsRedirectWhen {
                it.request.headers.containsKey("X-Forwarded-Proto")
            }
        }
    }
}

严格的运输安全

Spring Security 提供对严格传输安全性的支持,并默认启用它。spring-doc.cn

代理服务器配置