HTTP

所有基于 HTTP 的通信都应使用 TLS 进行保护。

本节介绍使用 WebFlux 特定功能来协助 HTTPS 使用的详细信息。

重定向到 HTTPS

如果客户端使用 HTTP 而不是 HTTPS 发出请求，则可以配置 Spring Security 重定向到 HTTPS。

以下 Java 配置将任何 HTTP 请求重定向到 HTTPS

重定向到 HTTPS

Java
Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(withDefaults());
	return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps { }
    }
}

可以将配置包装在 if 语句中，使其仅在生产环境中启用。或者，可以通过查找仅在生产环境中发生的请求属性来启用它。例如，如果生产环境添加名为 X-Forwarded-Proto 的标头，则应使用以下 Java 配置

当 X-Forwarded 时重定向到 HTTPS

Java
Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.redirectToHttps(redirect -> redirect
			.httpsRedirectWhen(e -> e.getRequest().getHeaders().containsKey("X-Forwarded-Proto"))
		);
	return http.build();
}

@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        redirectToHttps {
            httpsRedirectWhen {
                it.request.headers.containsKey("X-Forwarded-Proto")
            }
        }
    }
}

严格传输安全

Spring Security 支持严格传输安全，并默认启用它。

代理服务器配置

Spring Security 与代理服务器集成。