对于最新的稳定版本,请使用 Spring Security 6.3.1

对于最新的稳定版本,请使用 Spring Security 6.3.1
Spring Security 提供了一个示例应用程序,演示了 Spring Security Kotlin 配置的使用。
Spring Security 提供了一个示例应用程序,演示了 Spring Security Kotlin 配置的使用。

Http安全

Spring Security 如何知道我们要要求所有用户都进行身份验证? Spring Security 如何知道我们要支持基于表单的身份验证? 实际上,有一个 Bean 在幕后被调用,称为 . 它配置了以下默认实现:SecurityFilterChain

import org.springframework.security.config.annotation.web.invoke

@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
   http {
        authorizeRequests {
            authorize(anyRequest, authenticated)
        }
       formLogin { }
       httpBasic { }
    }
    return http.build()
}
请确保在类中导入函数,有时 IDE 不会自动导入它,从而导致编译问题。invoke

上面的默认配置:

  • 确保对应用程序的任何请求都需要对用户进行身份验证

  • 允许用户使用基于表单的登录进行身份验证

  • 允许用户使用 HTTP 基本身份验证进行身份验证

您会注意到,此配置与 XML 命名空间配置非常相似:

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>
请确保在类中导入函数,有时 IDE 不会自动导入它,从而导致编译问题。invoke

多个 HttpSecurity

我们可以配置多个 HttpSecurity 实例,就像我们可以拥有多个块一样。 关键是注册多个 s。 例如,下面是一个示例,说明对以 开头的 URL 进行不同配置。<http>SecurityFilterChain@Bean/api/

import org.springframework.security.config.annotation.web.invoke

@EnableWebSecurity
class MultiHttpSecurityConfig {
    @Bean                                                            (1)
    public fun userDetailsService(): UserDetailsService {
        val users: User.UserBuilder = User.withDefaultPasswordEncoder()
        val manager = InMemoryUserDetailsManager()
        manager.createUser(users.username("user").password("password").roles("USER").build())
        manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
        return manager
    }

    @Order(1)                                                        (2)
    @Bean
    open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            securityMatcher("/api/**")                               (3)
            authorizeRequests {
                authorize(anyRequest, hasRole("ADMIN"))
            }
            httpBasic { }
        }
        return http.build()
    }

    @Bean                                                            (4)
    open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            authorizeRequests {
                authorize(anyRequest, authenticated)
            }
            formLogin { }
        }
        return http.build()
    }
}
1 将身份验证配置为正常
2 公开 contains 的实例以指定应首先考虑的实例。SecurityFilterChain@OrderSecurityFilterChain
3 声明这仅适用于以http.antMatcherHttpSecurity/api/
4 公开 . 的另一个实例。 如果 URL 不以此开头,则将使用此配置。 此配置被视为 after,因为它具有 after 值(没有默认为 last)。SecurityFilterChain/api/apiFilterChain@Order1@Order
1 将身份验证配置为正常
2 公开 contains 的实例以指定应首先考虑的实例。SecurityFilterChain@OrderSecurityFilterChain
3 声明这仅适用于以http.antMatcherHttpSecurity/api/
4 公开 . 的另一个实例。 如果 URL 不以此开头,则将使用此配置。 此配置被视为 after,因为它具有 after 值(没有默认为 last)。SecurityFilterChain/api/apiFilterChain@Order1@Order