|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
所有基于 HTTP 的通信都应使用 TLS 进行保护。
您可以在下面找到有关有助于使用 HTTPS 的 WebFlux 特定功能的详细信息。
重定向至HTTPS
如果客户端使用 HTTP 而不是 HTTPS 发出请求,则可以将 Spring Security 配置为重定向到 HTTPS。
例如,以下 Java 配置会将所有 HTTP 请求重定向到 HTTPS:
重定向至HTTPS
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.redirectToHttps(withDefaults());
return http.build();
}@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
redirectToHttps { }
}
}该配置可以很容易地包装在仅在生产环境中打开的 if 语句中。
或者,可以通过查找仅在生产环境中发生的请求的属性来启用它。
例如,如果生产环境添加了一个名为“以下内容”的标头,则可以使用“Java 配置”:X-Forwarded-Proto
X转发时重定向至HTTPS
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.redirectToHttps(redirect -> redirect
.httpsRedirectWhen(e -> e.getRequest().getHeaders().containsKey("X-Forwarded-Proto"))
);
return http.build();
}@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
redirectToHttps {
httpsRedirectWhen {
it.request.headers.containsKey("X-Forwarded-Proto")
}
}
}
}严格的运输安全
Spring Security 提供对严格传输安全性的支持,并在默认情况下启用它。
代理服务器配置
Spring Security 与代理服务器集成。