Spring Boot 参考指南（安全）

28. 安全

如果在类路径上有Spring Security，那么web应用程序默认是安全的，Spring Boot依赖Spring Security的内容协商策略来决定是使用httpBasic还是formLogin，要向web应用程序添加方法级安全性，还可以使用所需的设置添加@EnableGlobalMethodSecurity，其他信息可以在Spring Security参考指南中找到。

默认的UserDetailsService只有一个用户，用户名是user，密码是随机的，在应用程序启动时在INFO级别打印，如下例所示：

Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

如果你对日志配置进行了微调，请确保 org.springframework.boot.autoconfigure.security类别设置为记录 INFO级别的消息，否则，不会打印默认密码。

你可以通过提供spring.security.user.name和spring.security.user.password来更改用户名和密码。

你在web应用程序中默认获得的基本特性是：

• 使用内存存储的UserDetailsService（或WebFlux应用程序下的ReactiveUserDetailsService) bean和使用生成密码的单个用户（参见SecurityProperties.User）的属性。
• 整个应用程序基于表单的登录或HTTP Basic Security（取决于内容类型）（如果执行器在类路径上，则包括执行器端点）。
• 用于发布身份验证事件的DefaultAuthenticationEventPublisher。

你可以通过添加bean来提供不同的AuthenticationEventPublisher。

28.1 MVC Security

默认的security配置在SecurityAutoConfiguration和UserDetailsServiceAutoConfiguration中实现，SecurityAutoConfiguration导入SpringBootWebSecurityConfiguration用于web安全，UserDetailsServiceAutoConfiguration配置身份验证，这在非web应用程序中也是相关的，要完全关闭默认的web应用程序安全配置，可以添加WebSecurityConfigurerAdapter类型的bean（这样做不会禁用UserDetailsService配置或执行器的安全）。

要关闭UserDetailsService配置，可以添加UserDetailsService、AuthenticationProvider或AuthenticationManager类型的bean，在Spring Boot示例中有几个安全的应用程序可以让你从常见的用例开始。

可以通过添加自定义的WebSecurityConfigurerAdapter来覆盖访问规则，Spring Boot提供了方便的方法，可用于覆盖执行器端点和静态资源的访问规则，可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的RequestMatcher，PathRequest可用于为常用位置的资源创建RequestMatcher。

28.2 WebFlux Security

与Spring MVC应用程序类似，你可以通过添加Spring-boot-starter-security依赖项来保护WebFlux应用程序，默认的security配置在ReactiveSecurityAutoConfiguration和UserDetailsServiceAutoConfiguration中实现。ReactiveSecurityAutoConfiguration导入WebFluxSecurityConfiguration用于web安全，UserDetailsServiceAutoConfiguration配置身份验证，这在非web应用程序中也是相关的。要完全关闭默认的web应用程序安全配置，可以添加WebFilterChainProxy类型的bean（这样做不会禁用UserDetailsService配置或执行器的安全）。

为了关闭UserDetailsService配置，你可以添加一个类型为ReactiveUserDetailsService或ReactiveAuthenticationManager的bean。

可以通过添加自定义SecurityWebFilterChain来配置访问规则，Spring Boot提供了方便的方法，可用于覆盖执行器端点和静态资源的访问规则，可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的ServerWebExchangeMatcher。

PathRequest可用于为常用位置的资源创建ServerWebExchangeMatcher。

例如，你可以通过添加以下内容来定制你的security配置：

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    return http
        .authorizeExchange()
            .matchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
            .pathMatchers("/foo", "/bar")
                .authenticated().and()
            .formLogin().and()
        .build();
}

28.3 OAuth2

OAuth2是Spring支持的广泛使用的授权框架。

28.3.1 客户端

如果你的类路径中有spring-security-oauth2-client，那么可以利用一些自动配置来轻松地设置OAuth2客户端，这个配置使用OAuth2ClientProperties下的属性。

你可以在spring.security.oauth2.client前缀下注册多个OAuth2客户端和提供者，如下例所示：

spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code

spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code

spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name

默认情况下，Spring Security的OAuth2LoginAuthenticationFilter只处理匹配/login/oauth2/code/*的url，如果你想定制redirect-uri-template来使用不同的模式，你需要提供配置来处理定制模式，例如，你可以添加类似于以下内容的WebSecurityConfigurerAdapter：

public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .oauth2Login()
                .redirectionEndpoint()
                    .baseUri("/custom-callback");
    }
}

对于普通的OAuth2和OpenID提供者，包括谷歌、Github、Facebook和Okta，我们提供了一组提供者默认值（google、github、facebook和Okta）。

如果你不需要定制这些提供者，你可以将提供者属性设置为你需要推断默认值的提供者属性，另外，如果客户端的ID与默认支持的提供程序匹配，Spring Boot也会推断出这一点。

换句话说，下面示例中的两个配置使用谷歌提供程序：

spring.security.oauth2.client.registration.my-client.client-id=abcd
spring.security.oauth2.client.registration.my-client.client-secret=password
spring.security.oauth2.client.registration.my-client.provider=google

spring.security.oauth2.client.registration.google.client-id=abcd
spring.security.oauth2.client.registration.google.client-secret=password

28.3.2 服务器

目前，Spring Security不支持实现OAuth 2.0授权服务器或资源服务器，但是，这个功能可以从Spring Security OAuth项目中获得，该项目最终将被Spring Security完全取代，在此之前，你可以使用spring-security-oauth2-autoconfigure模块轻松设置OAuth 2.0服务器，有关说明，请参阅其文档。

28.4 Actuator安全

出于安全考虑，除/health和/info之外的所有Actuator默认禁用，management.endpoints.web.exposure.include属性可用于启用actuator。

如果在类路径上有Spring Security，并且没有其他WebSecurityConfigurerAdapter存在，actuator是通过Spring Boot自动配置来保护的，如果你定义了一个自定义的WebSecurityConfigurerAdapter，Spring Boot自动配置将退出，你将完全控制actuator访问规则。

在设置 management.endpoints.web.exposure.include之前，确保暴露的actuator不包含敏感信息和/或通过将它们置于防火墙后或通过类似Spring Security的方式进行安全保护。

28.4.1 跨站请求伪造保护

由于Spring Boot依赖于Spring Security的默认值，所以CSRF保护默认打开，这意味着，当使用默认安全配置时，需要POST（关闭和日志记录器端点）、PUT或DELETE的actuator端点将收到403禁止错误。

我们建议，只有在创建非浏览器客户端使用的服务时，才完全禁用CSRF保护。

有关CSRF保护的其他信息可以在Spring Security参考指南中找到。

---

上一篇：开发Web应用程序