HTTP

所有基于 HTTP 的通信都应使用 TLS 进行保护。spring-doc.cadn.net.cn

本节讨论了与 Servlet 相关的特定功能细节，这些功能有助于 HTTPS 的使用。spring-doc.cadn.net.cn

重定向到 HTTPS

如果客户端使用 HTTP 而非 HTTPS 发起请求，你可以配置 Spring Security 将其重定向到 HTTPS。spring-doc.cadn.net.cn

例如，以下 Java 或 Kotlin 配置会将所有 HTTP 请求重定向到 HTTPS：spring-doc.cadn.net.cn

重定向到 HTTPS

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.redirectToHttps(withDefaults());
		return http.build();
	}
}

@Configuration
@EnableWebSecurity
class SecurityConfig {

    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // ...
            redirectToHttps { }
        }
        return http.build()
    }
}

以下 XML 配置将所有 HTTP 请求重定向到 HTTPSspring-doc.cadn.net.cn

使用 XML 配置重定向到 HTTPS

<http>
	<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>
...
</http>

HTTP 严格传输安全

Spring Security 提供对严格传输安全（Strict Transport Security）的支持，并默认启用该功能。spring-doc.cadn.net.cn

代理服务器配置

Spring Security 与代理服务器集成。spring-doc.cadn.net.cn