WebFlux 安全
Spring Security 的 WebFlux 支持依赖于一个 `WebFilter`,并且 Spring WebFlux 和 Spring WebFlux.Fn 的工作方式相同。一些示例应用程序演示了代码
-
Hello WebFlux hellowebflux
-
Hello WebFlux.Fn hellowebfluxfn
-
Hello WebFlux 方法 hellowebflux-method
最小的 WebFlux 安全性配置
以下列表显示了最小的 WebFlux 安全性配置
最小的 WebFlux 安全性配置
-
Java
-
Kotlin
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {
@Bean
public MapReactiveUserDetailsService userDetailsService() {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("user")
.roles("USER")
.build();
return new MapReactiveUserDetailsService(user);
}
}@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {
@Bean
fun userDetailsService(): ReactiveUserDetailsService {
val userDetails = User.withDefaultPasswordEncoder()
.username("user")
.password("user")
.roles("USER")
.build()
return MapReactiveUserDetailsService(userDetails)
}
}此配置提供了表单和 HTTP 基本身份验证,设置授权以要求经过身份验证的用户才能访问任何页面,设置默认登录页面和默认注销页面,设置与安全相关的 HTTP 头,添加 CSRF 保护等等。
显式的 WebFlux 安全性配置
以下页面显示了最小 WebFlux 安全性配置的显式版本
显式的 WebFlux 安全性配置
-
Java
-
Kotlin
@Configuration
@EnableWebFluxSecurity
public class HelloWebfluxSecurityConfig {
@Bean
public MapReactiveUserDetailsService userDetailsService() {
UserDetails user = User.withDefaultPasswordEncoder()
.username("user")
.password("user")
.roles("USER")
.build();
return new MapReactiveUserDetailsService(user);
}
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
.authorizeExchange(exchanges -> exchanges
.anyExchange().authenticated()
)
.httpBasic(withDefaults())
.formLogin(withDefaults());
return http.build();
}
}import org.springframework.security.config.web.server.invoke
@Configuration
@EnableWebFluxSecurity
class HelloWebfluxSecurityConfig {
@Bean
fun userDetailsService(): ReactiveUserDetailsService {
val userDetails = User.withDefaultPasswordEncoder()
.username("user")
.password("user")
.roles("USER")
.build()
return MapReactiveUserDetailsService(userDetails)
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
authorizeExchange {
authorize(anyExchange, authenticated)
}
formLogin { }
httpBasic { }
}
}
}| 确保导入 `org.springframework.security.config.annotation.web.invoke` 函数以在你的类中启用 Kotlin DSL,因为 IDE 并不总是自动导入该方法,这会导致编译问题。 |
此配置明确设置了与我们的最小配置相同的全部内容。从这里开始,你可以更容易地更改默认值。
你可以在单元测试中找到更多显式配置的示例,方法是在 `config/src/test/` 目录中搜索 `EnableWebFluxSecurity`。
多链支持
你可以配置多个 `SecurityWebFilterChain` 实例,以便通过 `RequestMatcher` 实例分离配置。
例如,你可以隔离对以 `/api` 开头的 URL 的配置
-
Java
-
Kotlin
@Configuration
@EnableWebFluxSecurity
static class MultiSecurityHttpConfig {
@Order(Ordered.HIGHEST_PRECEDENCE) (1)
@Bean
SecurityWebFilterChain apiHttpSecurity(ServerHttpSecurity http) {
http
.securityMatcher(new PathPatternParserServerWebExchangeMatcher("/api/**")) (2)
.authorizeExchange((exchanges) -> exchanges
.anyExchange().authenticated()
)
.oauth2ResourceServer(OAuth2ResourceServerSpec::jwt); (3)
return http.build();
}
@Bean
SecurityWebFilterChain webHttpSecurity(ServerHttpSecurity http) { (4)
http
.authorizeExchange((exchanges) -> exchanges
.anyExchange().authenticated()
)
.httpBasic(withDefaults()); (5)
return http.build();
}
@Bean
ReactiveUserDetailsService userDetailsService() {
return new MapReactiveUserDetailsService(
PasswordEncodedUser.user(), PasswordEncodedUser.admin());
}
}import org.springframework.security.config.web.server.invoke
@Configuration
@EnableWebFluxSecurity
open class MultiSecurityHttpConfig {
@Order(Ordered.HIGHEST_PRECEDENCE) (1)
@Bean
open fun apiHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
securityMatcher(PathPatternParserServerWebExchangeMatcher("/api/**")) (2)
authorizeExchange {
authorize(anyExchange, authenticated)
}
oauth2ResourceServer {
jwt { } (3)
}
}
}
@Bean
open fun webHttpSecurity(http: ServerHttpSecurity): SecurityWebFilterChain { (4)
return http {
authorizeExchange {
authorize(anyExchange, authenticated)
}
httpBasic { } (5)
}
}
@Bean
open fun userDetailsService(): ReactiveUserDetailsService {
return MapReactiveUserDetailsService(
PasswordEncodedUser.user(), PasswordEncodedUser.admin()
)
}
}| 1 | 使用 `@Order` 配置 `SecurityWebFilterChain` 以指定 Spring Security 应该首先考虑哪个 `SecurityWebFilterChain` |
| 2 | 使用 `PathPatternParserServerWebExchangeMatcher` 指明此 `SecurityWebFilterChain` 仅适用于以 `/api/` 开头的 URL 路径 |
| 3 | 指定将用于 `/api/**` 端点的身份验证机制 |
| 4 | 创建另一个优先级较低的 `SecurityWebFilterChain` 实例以匹配所有其他 URL |
| 5 | 指定将用于应用程序其余部分的身份验证机制 |
Spring Security 为每个请求选择一个 `SecurityWebFilterChain` `@Bean`。它根据 `securityMatcher` 定义按顺序匹配请求。
在这种情况下,这意味着如果 URL 路径以 `/api` 开头,Spring Security 使用 `apiHttpSecurity`。如果 URL 不以 `/api` 开头,Spring Security 默认使用 `webHttpSecurity`,它有一个隐含的 `securityMatcher`,可以匹配任何请求。
