此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
HTTP 协议
所有基于 HTTP 的通信都应使用 TLS 进行保护。
您可以在下面找到有关有助于使用 HTTPS 的 Servlet 特定功能的详细信息。
重定向到 HTTPS
如果 Client 端使用 HTTP 而不是 HTTPS 发出请求,则可以将 Spring Security 配置为重定向到 HTTPS。
例如,以下 Java 配置会将任何 HTTP 请求重定向到 HTTPS:
重定向到 HTTPS
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// ...
.requiresChannel(channel -> channel
.anyRequest().requiresSecure()
);
return http.build();
}
}
@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
requiresChannel {
secure(AnyRequestMatcher.INSTANCE, "REQUIRES_SECURE_CHANNEL")
}
}
return http.build()
}
}
以下 XML 配置会将所有 HTTP 请求重定向到 HTTPS
重定向至“使用 XML 配置的 HTTPS”诊断树
<http>
<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>
...
</http>
严格的运输安全
Spring Security 提供对严格传输安全性的支持,并默认启用它。
代理服务器配置
Spring Security 与代理服务器集成。