对于最新的稳定版本,请使用 Spring Security 6.4.1spring-doc.cadn.net.cn

WebFlux 安全性

Spring Security 的 WebFlux 支持依赖于WebFilter并且对 Spring WebFlux 和 Spring WebFlux.Fn 的工作方式相同。 一些示例应用程序演示了代码:spring-doc.cadn.net.cn

最小 WebFlux 安全配置

下面的清单显示了一个最小的 WebFlux Security 配置:spring-doc.cadn.net.cn

最小 WebFlux 安全配置
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {

	@Bean
	public MapReactiveUserDetailsService userDetailsService() {
		UserDetails user = User.withDefaultPasswordEncoder()
			.username("user")
			.password("user")
			.roles("USER")
			.build();
		return new MapReactiveUserDetailsService(user);
	}
}
@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {

    @Bean
    fun userDetailsService(): ReactiveUserDetailsService {
        val userDetails = User.withDefaultPasswordEncoder()
                .username("user")
                .password("user")
                .roles("USER")
                .build()
        return MapReactiveUserDetailsService(userDetails)
    }
}

此配置提供表单和 HTTP 基本身份验证,设置授权以要求经过身份验证的用户访问任何页面,设置默认登录页面和默认注销页面,设置与安全相关的 HTTP 标头,添加 CSRF 保护等等。spring-doc.cadn.net.cn

显式 WebFlux 安全配置

以下页面显示了最小 WebFlux Security 配置的显式版本:spring-doc.cadn.net.cn

显式 WebFlux 安全配置
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {

	@Bean
	public MapReactiveUserDetailsService userDetailsService() {
		UserDetails user = User.withDefaultPasswordEncoder()
			.username("user")
			.password("user")
			.roles("USER")
			.build();
		return new MapReactiveUserDetailsService(user);
	}

	@Bean
	public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
		http
			.authorizeExchange(exchanges -> exchanges
			    .anyExchange().authenticated()
			)
			.httpBasic(withDefaults())
			.formLogin(withDefaults());
		return http.build();
	}
}
import org.springframework.security.config.web.server.invoke

@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {

    @Bean
    fun userDetailsService(): ReactiveUserDetailsService {
        val userDetails = User.withDefaultPasswordEncoder()
                .username("user")
                .password("user")
                .roles("USER")
                .build()
        return MapReactiveUserDetailsService(userDetails)
    }

    @Bean
    fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
        return http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            formLogin { }
            httpBasic { }
        }
    }
}
确保导入invoke函数,有时 IDE 不会自动导入它,从而导致编译问题。

此配置显式设置了与我们的最小配置相同的所有内容。 在这里,您可以更轻松地更改默认值。spring-doc.cadn.net.cn

您可以通过搜索EnableWebFluxSecurityconfig/src/test/目录.spring-doc.cadn.net.cn

多链支持

您可以配置多个SecurityWebFilterChain实例以分隔配置RequestMatcher实例。spring-doc.cadn.net.cn

例如,您可以隔离以/api:spring-doc.cadn.net.cn

@Configuration
@EnableWebFluxSecurity
static class MultiSecurityHttpConfig {

    @Order(Ordered.HIGHEST_PRECEDENCE)                                                      (1)
    @Bean
    SecurityWebFilterChain apiHttpSecurity(ServerHttpSecurity http) {
        http
            .securityMatcher(new PathPatternParserServerWebExchangeMatcher("/api/**"))      (2)
            .authorizeExchange((exchanges) -> exchanges
                .anyExchange().authenticated()
            )
            .oauth2ResourceServer(OAuth2ResourceServerSpec::jwt);                           (3)
        return http.build();
    }

    @Bean
    SecurityWebFilterChain webHttpSecurity(ServerHttpSecurity http) {                       (4)
        http
            .authorizeExchange((exchanges) -> exchanges
                .anyExchange().authenticated()
            )
            .httpBasic(withDefaults());                                                     (5)
        return http.build();
    }

    @Bean
    ReactiveUserDetailsService userDetailsService() {
        return new MapReactiveUserDetailsService(
                PasswordEncodedUser.user(), PasswordEncodedUser.admin());
    }

}
import org.springframework.security.config.web.server.invoke

@Configuration
@EnableWebFluxSecurity
open class MultiSecurityHttpConfig {
    @Order(Ordered.HIGHEST_PRECEDENCE)                                                      (1)
    @Bean
    open fun apiHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
        return http {
            securityMatcher(PathPatternParserServerWebExchangeMatcher("/api/**"))           (2)
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            oauth2ResourceServer {
                jwt { }                                                                     (3)
            }
        }
    }

    @Bean
    open fun webHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {            (4)
        return http {
            authorizeExchange {
                authorize(anyExchange, authenticated)
            }
            httpBasic { }                                                                   (5)
        }
    }

    @Bean
    open fun userDetailsService(): ReactiveUserDetailsService {
        return MapReactiveUserDetailsService(
            PasswordEncodedUser.user(), PasswordEncodedUser.admin()
        )
    }
}
1 配置SecurityWebFilterChain替换为@Order以指定SecurityWebFilterChainSpring Security 应首先考虑
2 PathPatternParserServerWebExchangeMatcher来声明这个SecurityWebFilterChain将仅适用于以/api/
3 指定将用于/api/**端点
4 创建SecurityWebFilterChain具有较低的优先级以匹配所有其他 URL
5 指定将用于应用程序其余部分的身份验证机制

Spring Security 选择一个SecurityWebFilterChain @Bean对于每个请求。 它按securityMatcher定义。spring-doc.cadn.net.cn

在这种情况下,这意味着,如果 URL 路径以/api,Spring Security 使用apiHttpSecurity. 如果 URL 不以/api,Spring Security 默认为webHttpSecurity,它有一个隐含的securityMatcher匹配任何请求。spring-doc.cadn.net.cn