此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cadn.net.cn

反应式 X.509 身份验证

Servlet X.509 身份验证类似,反应式 x509 身份验证过滤器允许从客户端提供的证书中提取身份验证令牌。spring-doc.cadn.net.cn

以下是反应式 x509 安全配置的示例:spring-doc.cadn.net.cn

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	http
		.x509(withDefaults())
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().permitAll()
		);
	return http.build();
}

在上面的配置中,当principalExtractor也不authenticationManager,则使用默认值。默认主提取程序为SubjectDnX509PrincipalExtractor它从客户端提供的证书中提取 CN(公用名)字段。默认身份验证管理器为ReactivePreAuthenticatedAuthenticationManager,它执行用户帐户验证,检查该用户帐户的名称由principalExtractor存在,并且未被锁定、禁用或过期。spring-doc.cadn.net.cn

下一个示例演示如何覆盖这些默认值。spring-doc.cadn.net.cn

@Bean
public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
	SubjectDnX509PrincipalExtractor principalExtractor =
	        new SubjectDnX509PrincipalExtractor();

	principalExtractor.setSubjectDnRegex("OU=(.*?)(?:,|$)");

	ReactiveAuthenticationManager authenticationManager = authentication -> {
		authentication.setAuthenticated("Trusted Org Unit".equals(authentication.getName()));
		return Mono.just(authentication);
	};

	http
		.x509(x509 -> x509
		    .principalExtractor(principalExtractor)
		    .authenticationManager(authenticationManager)
		)
		.authorizeExchange(exchanges -> exchanges
		    .anyExchange().authenticated()
		);
	return http.build();
}

在此示例中,从客户端证书的 OU 字段(而不是 CN)中提取用户名,并使用ReactiveUserDetailsService根本不执行。相反,如果提供的证书颁发给名为“Trusted Org Unit”的 OU,则请求将进行身份验证。spring-doc.cadn.net.cn

有关配置 Netty 和WebClientcurl命令行工具使用双向 TLS 并启用 X.509 认证,请参考 github.com/spring-projects/spring-security-samples/tree/main/servlet/java-configuration/authentication/x509spring-doc.cadn.net.cn


APP信息