Kotlin Configuration

Spring Security Kotlin 配置已在 Spring Security 5.3 中提供。通过使用原生 Kotlin DSL,用户可以使用此配置配置 Spring Security。

Spring Security 提供了 a sample application 来演示 Spring Security Kotlin 配置的使用。

HttpSecurity

Spring Security 如何知道我们要要求所有用户都进行身份验证?Spring Security 如何知道我们要支持基于表单的身份验证?有一个在后台调用的配置类(名为 SecurityFilterChain)。它使用以下默认实现进行了配置:

import org.springframework.security.config.annotation.web.invoke

@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
    http {
        authorizeHttpRequests {
            authorize(anyRequest, authenticated)
        }
        formLogin { }
        httpBasic { }
    }
    return http.build()
}

请务必在您的类中导入 invoke 函数,因为 IDE 并非总是自动导入该方法,从而导致编译问题。

前面的列表中显示的默认配置:

  • 确保对应用程序的任何请求都需要用户进行身份验证

  • 允许用户使用基于表单的登录进行身份验证

  • 允许用户使用 HTTP 基本身份验证进行身份验证

请注意,此配置与 XML 命名空间配置并行:

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>

Multiple HttpSecurity Instances

我们可以配置多个 HttpSecurity 实例,就像我们可以有多个 <http> 块一样。关键是注册多个 SecurityFilterChain @Bean。以下示例为以 /api/ 开头的 URL 进行了不同的配置:

import org.springframework.security.config.annotation.web.invoke

@Configuration
@EnableWebSecurity
class MultiHttpSecurityConfig {
    @Bean                                                            1
    public fun userDetailsService(): UserDetailsService {
        val users: User.UserBuilder = User.withDefaultPasswordEncoder()
        val manager = InMemoryUserDetailsManager()
        manager.createUser(users.username("user").password("password").roles("USER").build())
        manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
        return manager
    }

    @Order(1)                                                        2
    @Bean
    open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            securityMatcher("/api/**")                               3
            authorizeHttpRequests {
                authorize(anyRequest, hasRole("ADMIN"))
            }
            httpBasic { }
        }
        return http.build()
    }

    @Bean                                                            4
    open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            authorizeHttpRequests {
                authorize(anyRequest, authenticated)
            }
            formLogin { }
        }
        return http.build()
    }
}
1 Configure Authentication as usual.
2 创建一个包含 @Order`的 `SecurityFilterChain`实例以指定应首先考虑的 `SecurityFilterChain
3 `http.securityMatcher`指出此 `HttpSecurity`仅适用于以 `/api/`开头的 URL
4 创建另一个 `SecurityFilterChain`实例。如果 URL 不是以 `/api/`开头,则将使用此配置。此配置在 `apiFilterChain`之后被考虑,因为它在 `1`之后具有 `@Order`值(没有 `@Order`默认值为最后一个)。