|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Boot 3.4.0! |
审计
一旦 Spring Security 开始发挥作用, Spring Boot Actuator 就会有一个灵活的审计框架来发布事件(默认情况下,“身份验证成功”、“失败”和“访问被拒绝”异常)。 此功能对于报告和实施基于身份验证失败的锁定策略非常有用。
您可以通过在应用程序的配置中提供 AuditEventRepository 类型的 bean 来启用审计。
为方便起见, Spring Boot 提供了InMemoryAuditEventRepository。InMemoryAuditEventRepository 的功能有限,我们建议仅将其用于开发环境。
对于生产环境,请考虑创建自己的替代 AuditEventRepository 实现。
自定义审计
要自定义已发布的安全事件,您可以提供自己的 AbstractAuthenticationAuditListener 和 AbstractAuthorizationAuditListener 实现。
您还可以将审计服务用于自己的业务事件。
为此,请将AuditEventRepository bean 注入到你自己的组件中并直接使用它,或者使用 Spring ApplicationEventPublisher发布AuditApplicationEvent(通过实现ApplicationEventPublisherAware)。