HTTP
所有基于 HTTP 的通信应受 using TLS 保护。 本节讨论了协助使用 HTTPS 的 servlet 特定功能的详细信息。
Redirect to HTTPS
如果客户端使用 HTTP 而非 HTTPS 发出请求,你可以配置 Spring Security 重定向到 HTTPS。
例如,以下 Java 或 Kotlin 配置将所有 HTTP 请求重定向到 HTTPS:
Redirect to HTTPS
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// ...
.requiresChannel(channel -> channel
.anyRequest().requiresSecure()
);
return http.build();
}
}
@Configuration
@EnableWebSecurity
class SecurityConfig {
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
requiresChannel {
secure(AnyRequestMatcher.INSTANCE, "REQUIRES_SECURE_CHANNEL")
}
}
return http.build()
}
}
以下 XML 配置将所有 HTTP 请求重定向到 HTTPS
Redirect to HTTPS with XML Configuration
<http>
<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>
...
</http>
Strict Transport Security
Spring Security 提供 Strict Transport Security 的支持并默认启用它。
Proxy Server Configuration
Spring Security integrates with proxy servers 。