HTTP

所有基于 HTTP 的通信都应该通过使用 TLS 进行保护。

本节详细介绍了如何使用 WebFlux 特有功能来辅助 HTTPS 使用。

重定向到 HTTPS

如果客户端使用 HTTP 而非 HTTPS 发送请求，您可以配置 Spring Security 重定向到 HTTPS。

以下 Java 配置将所有 HTTP 请求重定向到 HTTPS

重定向到 HTTPS

Java
Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(withDefaults());
	return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps { }
    }
}

您可以将配置包装在 if 语句中，以便仅在生产环境中启用。或者，您可以通过查找仅在生产环境中发生的请求属性来启用它。例如，如果生产环境添加了名为 X-Forwarded-Proto 的头，您应该使用以下 Java 配置

当存在 X-Forwarded 头时重定向到 HTTPS

Java
Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(redirect -> redirect
			.httpsRedirectWhen(e -> e.getRequest().getHeaders().containsKey("X-Forwarded-Proto"))
		);
	return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps {
            httpsRedirectWhen {
                it.request.headers.containsKey("X-Forwarded-Proto")
            }
        }
    }
}

Strict Transport Security

Spring Security 支持 Strict Transport Security 并默认启用它。

代理服务器配置

Spring Security 与代理服务器集成。