此版本仍在开发中，尚不被认为是稳定的。对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

Kotlin 配置

Spring Security Kotlin 配置从 Spring Security 5.3 开始可用。它允许用户使用本机 Kotlin DSL 配置 Spring Security。spring-doc.cadn.net.cn

Spring Security 提供了一个示例应用程序来演示 Spring Security Kotlin 配置的使用。spring-doc.cadn.net.cn

Http安全

Spring Security 如何知道我们想要要求所有用户都经过身份验证？Spring Security 如何知道我们想要支持基于表单的身份验证？有一个配置类（称为SecurityFilterChain）在后台调用。它配置了以下默认实现：spring-doc.cadn.net.cn

import org.springframework.security.config.annotation.web.invoke

@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
    http {
        authorizeHttpRequests {
            authorize(anyRequest, authenticated)
        }
        formLogin { }
        httpBasic { }
    }
    return http.build()
}

确保导入org.springframework.security.config.annotation.web.invoke函数在您的类中启用 Kotlin DSL，因为 IDE 不会总是自动导入该方法，从而导致编译问题。

默认配置（如上表所示）：spring-doc.cadn.net.cn

确保对我们应用程序的任何请求都需要对用户进行身份验证spring-doc.cadn.net.cn
允许用户使用基于表单的登录进行身份验证spring-doc.cadn.net.cn
允许用户使用 HTTP 基本身份验证进行身份验证spring-doc.cadn.net.cn

请注意，此配置与 XML 命名空间配置平行：spring-doc.cadn.net.cn

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>

多个 HttpSecurity 实例

我们可以配置多个HttpSecurity实例，就像我们可以有多个<http>块。关键是要注册多个SecurityFilterChain @Beans. 以下示例对以/api/:spring-doc.cadn.net.cn

import org.springframework.security.config.annotation.web.invoke

@Configuration
@EnableWebSecurity
class MultiHttpSecurityConfig {
    @Bean                                                            (1)
    public fun userDetailsService(): UserDetailsService {
        val users: User.UserBuilder = User.withDefaultPasswordEncoder()
        val manager = InMemoryUserDetailsManager()
        manager.createUser(users.username("user").password("password").roles("USER").build())
        manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
        return manager
    }

    @Order(1)                                                        (2)
    @Bean
    open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            securityMatcher("/api/**")                               (3)
            authorizeHttpRequests {
                authorize(anyRequest, hasRole("ADMIN"))
            }
            httpBasic { }
        }
        return http.build()
    }

    @Bean                                                            (4)
    open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            authorizeHttpRequests {
                authorize(anyRequest, authenticated)
            }
            formLogin { }
        }
        return http.build()
    }
}

1	像往常一样配置身份验证。
2	创建`SecurityFilterChain`包含`@Order`指定哪个`SecurityFilterChain`应该首先考虑。
3	这`http.securityMatcher`声明该`HttpSecurity`仅适用于以`/api/`
4	创建另一个`SecurityFilterChain`. 如果 URL 不是以`/api/`，则使用此配置。此配置在`apiFilterChain`，因为它有一个`@Order`值`1`（否`@Order`默认为 last）。