此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Boot 3.4.0spring-doc.cn

安全

本节解决使用 Spring Boot 时的安全性问题,包括将 Spring Security 与 Spring Boot 一起使用时出现的问题。spring-doc.cn

有关 Spring Security 的更多信息,请参阅 Spring Security 项目页面spring-doc.cn

关闭 Spring Boot 安全配置

如果在应用程序中使用 SecurityFilterChain Bean 定义@Configuration,则此操作将关闭 Spring Boot 中的默认 webapp 安全设置。spring-doc.cn

更改 UserDetailsService 并添加用户帐户

如果提供 AuthenticationManagerAuthenticationProviderUserDetailsService 类型的@Bean,则不会创建 InMemoryUserDetailsManager 的默认@Bean。 这意味着您拥有可用的 Spring Security 的完整功能集(例如各种身份验证选项)。spring-doc.cn

添加用户帐户的最简单方法是提供你自己的 UserDetailsService Bean。spring-doc.cn

在代理服务器后运行时启用 HTTPS

确保所有主要终端节点仅通过 HTTPS 可用,对于任何应用程序来说都是一项重要的苦差事。 如果你使用 Tomcat 作为 servlet 容器,那么 Spring Boot 会在检测到某些环境设置时自动添加 Tomcat 自己的RemoteIpValve,从而允许你依靠HttpServletRequest来报告它是否安全(甚至在处理实际 SSL 终止的代理服务器的下游)。 标准行为由某些请求标头 ( 和 )的存在与否决定,这些请求标头的名称是约定俗成的,因此它应该适用于大多数前端代理。 您可以通过向 中添加一些条目来打开阀门,如以下示例所示:x-forwarded-forx-forwarded-protoapplication.propertiesspring-doc.cn

server.tomcat.remoteip.remote-ip-header=x-forwarded-for
server.tomcat.remoteip.protocol-header=x-forwarded-proto
server:
  tomcat:
    remoteip:
      remote-ip-header: "x-forwarded-for"
      protocol-header: "x-forwarded-proto"

(这些属性中的任何一个的存在都会打开阀门。 或者,你可以通过使用WebServerFactoryCustomizer Bean 自定义TomcatServletWebServerFactory来添加RemoteIpValvespring-doc.cn

要将 Spring Security 配置为要求所有(或部分)请求都使用安全通道,请考虑添加你自己的SecurityFilterChain Bean,该 Bean 添加以下HttpSecurity配置:spring-doc.cn

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class MySecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		// Customize the application security ...
		http.requiresChannel((channel) -> channel.anyRequest().requiresSecure());
		return http.build();
	}

}
import org.springframework.context.annotation.Bean
import org.springframework.context.annotation.Configuration
import org.springframework.security.config.annotation.web.builders.HttpSecurity
import org.springframework.security.web.SecurityFilterChain

@Configuration
class MySecurityConfig {

	@Bean
	fun securityFilterChain(http: HttpSecurity): SecurityFilterChain {
		// Customize the application security ...
		http.requiresChannel { requests -> requests.anyRequest().requiresSecure() }
		return http.build()
	}

}