随着数据在广阔的互联网上传播，确保数据机密性和完整性变得势在必行。强化客户端和服务器之间通信通道的一项基本做法是启用 HTTPS（安全超文本传输协议）。通过采用 HTTPS，开发人员可以建立加密通道，保护敏感数据免受窃听和中间人攻击等潜在威胁。

配置 SSL

将以下属性添加到application.properties或application.yml文件以指定密钥库的位置并设置密码：

server.port=8443
server.ssl.key-store=classpath:keystore.p12
server.ssl.key-store-password=your_keystore_password
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=your_alias

server.port根据需要调整，并将keystore.p12、your_keystore_password 和your_alias替换为实际密钥库文件、密码和别名。

HTTPS配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .requiresChannel().anyRequest().requiresSecure() // Enforce HTTPS for all requests
            .and()
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // Public access URLs
                .antMatchers("/secured/**").authenticated() // Secured access URLs
                .and()
            .formLogin()
                .loginPage("/login") // Custom login page
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    // Other configurations...

    @Bean
    public Filter forwardSecuredChannelFilter() {
        return new ForwardSecuredChannelFilter();
    }

    @Bean
    public Filter requiresSecureRequestFilter() {
        return new RequiresSecureRequestFilter();
    }

    @Bean
    public RequiresChannel requiresChannel() {
        return new RequiresChannel();
    }
}

requiresChannel().anyRequest().requiresSecure()配置：

启用HTTPS的主要配置是通过配置HttpSecurity中的requiresChannel方法完成的。http.requiresChannel().anyRequest().requiresSecure()指示 Spring Security 对所有请求强制使用安全通道 (HTTPS)。任何通过不安全的 HTTP 连接访问应用程序的尝试都将自动重定向到安全的 HTTPS 通道。

授权规则

在执行 HTTPS 后，使用自定义授权规则.authorizeRequests()指定哪些 URL 需要特定角色或权限才能访问。在提供的示例中：

• 所有用户都可以访问与“/public/**”匹配的 URL ( permitAll())。
• “/secured/**”下的 URL 需要身份验证 ( authenticated())。

基于表单的身份验证配置

该配置包括使用.formLogin()基于表单的身份验证设置。指定自定义登录页面 ( /login) 并允许所有用户访问该页面 ( permitAll())。

注销配置

该.logout()配置允许不受限制地访问注销功能。

自定义过滤器

引入自定义过滤器（例如ForwardSecuredChannelFilter和）以进一步增强安全性。RequiresSecureRequestFilter这些过滤器负责在需要时将请求转发到安全通道，确保所有通信都通过 HTTPS 进行。

通过将这些配置合并到 Spring Security 设置中，不仅可以强制使用 HTTPS 进行所有通信，还可以根据应用程序的要求定义访问规则和身份验证机制。

考虑 HSTS

HSTS（HTTP 严格传输安全）是一种 Web 安全策略机制，有助于保护网站免受协议降级攻击和 Cookie 劫持等中间人攻击。

强制执行 HTTPS

通过实现 HSTS，可以超越 Spring Boot 应用程序中典型的 HTTPS 强制实施。让客户端的浏览器在指定的时间内记住并强制使用 HTTPS，即使用户尝试通过不安全的 HTTP 连接访问站点也是如此。

Spring Security 中的配置

要在 Spring Boot 应用程序中启用 HSTS，需要将其集成到 Spring Security 配置中。以下代码片段说明了如何配置 HSTS：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .headers()
            .httpStrictTransportSecurity()
                .maxAgeInSeconds(31536000) // One year
                .includeSubDomains(true);
    // ... other configurations
}

在此示例中，.httpStrictTransportSecurity()设置最长期限为一年 ( maxAgeInSeconds) 的 HSTS 并包含子域 ( includeSubDomains)，确保所有子域也都能安全访问。

maxAgeInSeconds

该max-age指令指定浏览器应强制执行 HTTPS 的持续时间（以秒为单位）。设置足够长的持续时间可以最大限度地降低长时间内潜在攻击的风险，从而增强安全性。

includeSubDomains

该includeSubDomains指令对于具有多个子域的应用程序至关重要。启用此选项可确保 HSTS 策略不仅应用于主域，还应用于其所有子域，从而提供全面的安全保护。

主要网络浏览器都支持 HSTS。一旦用户访问具有 HSTS 策略的网站，即使用户尝试使用不安全的链接访问该网站，他们的浏览器也会记住并在指定时间内强制执行该策略。此外，HSTS 通过确保会话 cookie 仅通过 HTTPS 连接传输来增强会话 cookie 的安全性，从而降低 cookie 劫持的风险。

结论

如配置示例所示，在 Spring Boot 应用程序中启用 HTTPS，可以针对潜在威胁（包括窃听和中间人攻击）建立强大的防御。 Spring Security 的集成通过提供身份验证、授权和安全通信机制无缝地增强了整体安全性。

此外，HSTS 的使用超出了基础的安全配置，通过强制浏览器强制使用 HTTPS 来添加额外的保护措施。这不仅可以降低某些攻击的风险，还可以增强用户对应用程序安全性的信任。