此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
Kotlin 配置
Spring Security Kotlin 配置从 Spring Security 5.3 开始可用。 它允许用户使用本机 Kotlin DSL 配置 Spring Security。
Spring Security 提供了一个示例应用程序来演示 Spring Security Kotlin 配置的使用。 |
HttpSecurity 安全
Spring Security 如何知道我们要要求所有用户都经过身份验证?
Spring Security 如何知道我们想要支持基于表单的身份验证?
有一个配置类(称为 )正在后台调用。
它使用以下默认实现进行配置:SecurityFilterChain
import org.springframework.security.config.annotation.web.invoke
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
httpBasic { }
}
return http.build()
}
请务必导入该函数以在您的类中启用 Kotlin DSL,因为 IDE 不会始终自动导入该方法,从而导致编译问题。org.springframework.security.config.annotation.web.invoke |
默认配置(如前面的清单所示):
-
确保对我们的应用程序的任何请求都需要对用户进行身份验证
-
允许用户使用基于表单的登录进行身份验证
-
允许用户使用 HTTP 基本身份验证进行身份验证
请注意,此配置与 XML 命名空间配置类似:
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>
多个 HttpSecurity 实例
我们可以配置多个实例,就像我们可以有多个块一样。
关键是要注册多个 s。
以下示例对以 :HttpSecurity
<http>
SecurityFilterChain
@Bean
/api/
import org.springframework.security.config.annotation.web.invoke
@Configuration
@EnableWebSecurity
class MultiHttpSecurityConfig {
@Bean (1)
public fun userDetailsService(): UserDetailsService {
val users: User.UserBuilder = User.withDefaultPasswordEncoder()
val manager = InMemoryUserDetailsManager()
manager.createUser(users.username("user").password("password").roles("USER").build())
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
return manager
}
@Order(1) (2)
@Bean
open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
securityMatcher("/api/**") (3)
authorizeHttpRequests {
authorize(anyRequest, hasRole("ADMIN"))
}
httpBasic { }
}
return http.build()
}
@Bean (4)
open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
}
return http.build()
}
}
1 | 照常配置 Authentication。 |
2 | 创建该 contains 的实例以指定应首先考虑哪个实例。SecurityFilterChain @Order SecurityFilterChain |
3 | 声明这仅适用于以http.securityMatcher HttpSecurity /api/ |
4 | 创建 的另一个实例。
如果 URL 不以 开头,则使用此配置。
此配置在 之后考虑,因为它在 之后 具有值(没有默认为 last)。SecurityFilterChain /api/ apiFilterChain @Order 1 @Order |