|
对于最新的稳定版本,请使用 Spring Security 6.5.0! |
Kotlin 配置
| Spring Security 提供了一个示例应用程序,它演示了 Spring Security Kotlin 配置的使用。 |
HttpSecurity 安全
Spring Security 如何知道我们要要求所有用户都经过身份验证?
Spring Security 如何知道我们想要支持基于表单的身份验证?
实际上,在后台调用了一个名为SecurityFilterChain.
它使用以下默认实现进行配置:
import org.springframework.security.config.annotation.web.invoke
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
httpBasic { }
}
return http.build()
}确保导入invoke函数,有时 IDE 不会自动导入它,从而导致编译问题。 |
上面的默认配置:
-
确保对我们的应用程序的任何请求都需要对用户进行身份验证
-
允许用户使用基于表单的登录进行身份验证
-
允许用户使用 HTTP 基本身份验证进行身份验证
您将注意到,此配置与 XML Namespace 配置非常相似:
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>多个 HttpSecurity
我们可以配置多个 HttpSecurity 实例,就像我们可以拥有多个<http>块。
关键是要注册多个SecurityFilterChain @Beans.
例如,下面是一个示例,其中 URL 的 URL 以/api/.
import org.springframework.security.config.annotation.web.invoke
@EnableWebSecurity
class MultiHttpSecurityConfig {
@Bean (1)
public fun userDetailsService(): UserDetailsService {
val users: User.UserBuilder = User.withDefaultPasswordEncoder()
val manager = InMemoryUserDetailsManager()
manager.createUser(users.username("user").password("password").roles("USER").build())
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
return manager
}
@Order(1) (2)
@Bean
open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
securityMatcher("/api/**") (3)
authorizeRequests {
authorize(anyRequest, hasRole("ADMIN"))
}
httpBasic { }
}
return http.build()
}
@Bean (4)
open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
}
return http.build()
}
}| 1 | 正常配置 Authentication |
| 2 | 公开SecurityFilterChain包含@Order以指定SecurityFilterChain应首先考虑。 |
| 3 | 这http.antMatcher声明此HttpSecurity将仅适用于以/api/ |
| 4 | 公开SecurityFilterChain.
如果 URL 不以/api/将使用此配置。
此配置在apiFilterChain由于它有一个@Order值1(否@Order默认为 last)。 |