此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

所有基于 HTTP 的通信都应使用 TLS 进行保护。spring-doc.cn

本节讨论有助于使用 HTTPS 的特定于 servlet 的功能的详细信息。spring-doc.cn

重定向到 HTTPS

如果 Client 端使用 HTTP 而不是 HTTPS 发出请求,则可以将 Spring Security 配置为重定向到 HTTPS。spring-doc.cn

例如,以下 Java 或 Kotlin 配置会将任何 HTTP 请求重定向到 HTTPS:spring-doc.cn

重定向到 HTTPS
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.requiresChannel(channel -> channel
				.anyRequest().requiresSecure()
			);
		return http.build();
	}
}
@Configuration
@EnableWebSecurity
class SecurityConfig {

    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // ...
            requiresChannel {
                secure(AnyRequestMatcher.INSTANCE, "REQUIRES_SECURE_CHANNEL")
            }
        }
        return http.build()
    }
}

以下 XML 配置将所有 HTTP 请求重定向到 HTTPSspring-doc.cn

重定向至“使用 XML 配置的 HTTPS”诊断树
<http>
	<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>
...
</http>

严格的运输安全

Spring Security 提供对严格传输安全性的支持,并默认启用它。spring-doc.cn

代理服务器配置