此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

Spring Security 的 WebFlux 支持依赖于 a,并且对于 Spring WebFlux 和 Spring WebFlux.Fn 的工作方式相同。 一些示例应用程序演示了代码:WebFilterspring-doc.cn

最小 WebFlux 安全配置

下面的清单显示了一个最小的 WebFlux Security 配置:spring-doc.cn

最小 WebFlux 安全配置
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {

	@Bean
	public MapReactiveUserDetailsService userDetailsService() {
		UserDetails user = User.withDefaultPasswordEncoder()
			.username("user")
			.password("user")
			.roles("USER")
			.build();
		return new MapReactiveUserDetailsService(user);
	}
}
@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {

    @Bean
    fun userDetailsService(): ReactiveUserDetailsService {
        val userDetails = User.withDefaultPasswordEncoder()
                .username("user")
                .password("user")
                .roles("USER")
                .build()
        return MapReactiveUserDetailsService(userDetails)
    }
}

此配置提供表单和 HTTP 基本身份验证,设置授权以要求经过身份验证的用户访问任何页面,设置默认登录页面和默认注销页面,设置与安全相关的 HTTP 标头,添加 CSRF 保护等等。spring-doc.cn

显式 WebFlux 安全配置

以下页面显示了最小 WebFlux Security 配置的显式版本:spring-doc.cn

显式 WebFlux 安全配置
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {

	@Bean
	public MapReactiveUserDetailsService userDetailsService() {
		UserDetails user = User.withDefaultPasswordEncoder()
			.username("user")
			.password("user")
			.roles("USER")
			.build();
		return new MapReactiveUserDetailsService(user);
	}

	@Bean
	public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
		http
			.authorizeExchange(exchanges -> exchanges
			    .anyExchange().authenticated()
			)
			.httpBasic(withDefaults())
			.formLogin(withDefaults());
		return http.build();
	}
}
import org.springframework.security.config.web.server.invoke

@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {

    @Bean
    fun userDetailsService(): ReactiveUserDetailsService {
        val userDetails = User.withDefaultPasswordEncoder()
                .username("user")
                .password("user")
                .roles("USER")
                .build()
        return MapReactiveUserDetailsService(userDetails)
    }

    @Bean
    fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
        return http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            formLogin { }
            httpBasic { }
        }
    }
}
请务必导入该函数以在您的类中启用 Kotlin DSL,因为 IDE 不会始终自动导入该方法,从而导致编译问题。org.springframework.security.config.web.server.invoke

此配置显式设置了与我们的最小配置相同的所有内容。 在这里,您可以更轻松地更改默认值。spring-doc.cn

通过在 config/src/test/ 目录中搜索 EnableWebFluxSecurity,可以在单元测试中找到更多显式配置的示例。spring-doc.cn

多链支持

您可以配置多个实例以按实例分隔配置。SecurityWebFilterChainRequestMatcherspring-doc.cn

例如,您可以隔离以 :/apispring-doc.cn

@Configuration
@EnableWebFluxSecurity
static class MultiSecurityHttpConfig {

    @Order(Ordered.HIGHEST_PRECEDENCE)                                                      (1)
    @Bean
    SecurityWebFilterChain apiHttpSecurity(ServerHttpSecurity http) {
        http
            .securityMatcher(new PathPatternParserServerWebExchangeMatcher("/api/**"))      (2)
            .authorizeExchange((exchanges) -> exchanges
                .anyExchange().authenticated()
            )
            .oauth2ResourceServer(OAuth2ResourceServerSpec::jwt);                           (3)
        return http.build();
    }

    @Bean
    SecurityWebFilterChain webHttpSecurity(ServerHttpSecurity http) {                       (4)
        http
            .authorizeExchange((exchanges) -> exchanges
                .anyExchange().authenticated()
            )
            .httpBasic(withDefaults());                                                     (5)
        return http.build();
    }

    @Bean
    ReactiveUserDetailsService userDetailsService() {
        return new MapReactiveUserDetailsService(
                PasswordEncodedUser.user(), PasswordEncodedUser.admin());
    }

}
import org.springframework.security.config.web.server.invoke

@Configuration
@EnableWebFluxSecurity
open class MultiSecurityHttpConfig {
    @Order(Ordered.HIGHEST_PRECEDENCE)                                                      (1)
    @Bean
    open fun apiHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
        return http {
            securityMatcher(PathPatternParserServerWebExchangeMatcher("/api/**"))           (2)
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            oauth2ResourceServer {
                jwt { }                                                                     (3)
            }
        }
    }

    @Bean
    open fun webHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {            (4)
        return http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            httpBasic { }                                                                   (5)
        }
    }

    @Bean
    open fun userDetailsService(): ReactiveUserDetailsService {
        return MapReactiveUserDetailsService(
            PasswordEncodedUser.user(), PasswordEncodedUser.admin()
        )
    }
}
1 使用 an 配置 a 以指定 Spring Security 应首先考虑哪个SecurityWebFilterChain@OrderSecurityWebFilterChain
2 用于表示这仅适用于以PathPatternParserServerWebExchangeMatcherSecurityWebFilterChain/api/
3 指定将用于终端节点的身份验证机制/api/**
4 创建另一个优先级较低的实例以匹配所有其他 URLSecurityWebFilterChain
5 指定将用于应用程序其余部分的身份验证机制

Spring Security 为每个请求选择一个。 它按定义顺序匹配请求。SecurityWebFilterChain@BeansecurityMatcherspring-doc.cn

在这种情况下,这意味着,如果 URL 路径以 开头,则 Spring Security 使用 。 如果 URL 不以 开头,则 Spring Security 默认为 ,它具有与任何请求匹配的隐含含义。/apiapiHttpSecurity/apiwebHttpSecuritysecurityMatcherspring-doc.cn

请务必导入该函数以在您的类中启用 Kotlin DSL,因为 IDE 不会始终自动导入该方法,从而导致编译问题。org.springframework.security.config.web.server.invoke
1 使用 an 配置 a 以指定 Spring Security 应首先考虑哪个SecurityWebFilterChain@OrderSecurityWebFilterChain
2 用于表示这仅适用于以PathPatternParserServerWebExchangeMatcherSecurityWebFilterChain/api/
3 指定将用于终端节点的身份验证机制/api/**
4 创建另一个优先级较低的实例以匹配所有其他 URLSecurityWebFilterChain
5 指定将用于应用程序其余部分的身份验证机制