HTTP

所有基於 HTTP 的通訊都應使用 TLS 進行保護。

本節討論有助於 HTTPS 使用的 Servlet 特定功能的詳細資訊。

重定向到 HTTPS

如果客戶端使用 HTTP 而不是 HTTPS 發出請求，您可以配置 Spring Security 將其重定向到 HTTPS。

例如，以下 Java 或 Kotlin 配置將所有 HTTP 請求重定向到 HTTPS

重定向到 HTTPS

Java
Kotlin

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// ...
			.redirectToHttps(withDefaults());
		return http.build();
	}
}

@Configuration
@EnableWebSecurity
class SecurityConfig {

    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // ...
            redirectToHttps { }
        }
        return http.build()
    }
}

以下 XML 配置將所有 HTTP 請求重定向到 HTTPS

使用 XML 配置重定向到 HTTPS

<http>
	<intercept-url pattern="/**" access="ROLE_USER" requires-channel="https"/>
...
</http>

嚴格傳輸安全

Spring Security 支援嚴格傳輸安全並預設啟用它。

代理伺服器配置

Spring Security 與代理伺服器整合。