当前位置：首页 > news >正文

Spring Security 2026 最佳实践：构建安全可靠的应用系统

news 2026/6/4 21:10:42

Spring Security 2026 最佳实践：构建安全可靠的应用系统

别叫我大神，叫我 Alex 就好。

一、引言

大家好，我是 Alex。在当今复杂的网络环境中，应用安全已经成为开发过程中不可或缺的一部分。Spring Security 作为 Spring 生态中处理安全问题的核心组件，一直致力于提供强大而灵活的安全解决方案。随着 Spring Security 2026 的发布，它带来了许多新特性和改进。今天，我想和大家分享一下 Spring Security 2026 的最佳实践，帮助大家构建更安全、更可靠的应用系统。

二、Spring Security 2026 新特性

1. 增强的 OAuth 2.1 支持

Spring Security 2026 全面支持 OAuth 2.1 协议：

简化的配置：更简洁的 OAuth 2.1 配置方式
增强的 token 管理：更安全的 token 存储和验证
支持 OIDC 1.0：完整的 OpenID Connect 1.0 支持

2. 虚拟线程集成

@Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .oauth2Login(withDefaults()) .sessionManagement(session -> session .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) ); return http.build(); } }

3. 安全性增强

更强大的密码编码器：默认使用 Argon2PasswordEncoder
增强的 CSRF 防护：更智能的 CSRF 令牌管理
安全 headers 自动配置：默认启用更安全的 HTTP 头

三、核心最佳实践

1. 认证管理

基于 OAuth 2.1 的认证：

@Configuration public class OAuth2ClientConfig { @Bean public ClientRegistrationRepository clientRegistrationRepository() { return new InMemoryClientRegistrationRepository( ClientRegistration.withRegistrationId("github") .clientId("your-client-id") .clientSecret("your-client-secret") .redirectUri("{baseUrl}/login/oauth2/code/{registrationId}") .authorizationUri("https://github.com/login/oauth/authorize") .tokenUri("https://github.com/login/oauth/access_token") .userInfoUri("https://api.github.com/user") .userNameAttributeName(IdTokenClaimNames.SUB) .clientName("GitHub") .build() ); } }

自定义认证逻辑：

@Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username)); return User.builder() .username(user.getUsername()) .password(user.getPassword()) .authorities(user.getRoles().stream() .map(role -> new SimpleGrantedAuthority("ROLE_" + role.getName())) .collect(Collectors.toList())) .accountExpired(false) .accountLocked(false) .credentialsExpired(false) .enabled(true) .build(); } }

2. 授权管理

基于角色的访问控制：

@Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/admin/**").hasRole("ADMIN") .requestMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().permitAll() ); return http.build(); } }

基于权限的访问控制：

@PreAuthorize("hasPermission(#order, 'READ')") public Order getOrder(Long id) { return orderRepository.findById(id).orElse(null); } @PreAuthorize("hasPermission(#order, 'WRITE')") public Order updateOrder(Order order) { return orderRepository.save(order); }

基于表达式的访问控制：

@PreAuthorize("#userId == authentication.principal.id or hasRole('ADMIN')") public User getUser(Long userId) { return userRepository.findById(userId).orElse(null); }

3. 安全防护

CSRF 防护：

@Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .csrf(csrf -> csrf .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .ignoringRequestMatchers("/api/**") ); return http.build(); } }

XSS 防护：

@Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new XssInterceptor()); } } public class XssInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // XSS 防护逻辑 return true; } }

CORS 配置：

@Configuration public class CorsConfig { @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.setAllowedOrigins(List.of("*")); config.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "OPTIONS")); config.setAllowedHeaders(List.of("*")); config.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } }

四、高级特性

1. 会话管理

会话配置：

@Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .sessionManagement(session -> session .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) .maximumSessions(1) .expiredUrl("/login?expired") .sessionRegistry(sessionRegistry()) ); return http.build(); } @Bean public SessionRegistry sessionRegistry() { return new SessionRegistryImpl(); } }

会话并发控制：

@Service public class SessionService { @Autowired private SessionRegistry sessionRegistry; public void invalidateUserSessions(String username) { List<SessionInformation> sessions = sessionRegistry.getAllSessions( username, false); for (SessionInformation session : sessions) { session.expireNow(); } } }

2. 安全事件

自定义安全事件监听：

@Component public class AuthenticationEventListener { @EventListener public void handleAuthenticationSuccess(AuthenticationSuccessEvent event) { // 处理认证成功事件 Authentication authentication = event.getAuthentication(); String username = authentication.getName(); System.out.println("User " + username + " logged in successfully"); } @EventListener public void handleAuthenticationFailure(AuthenticationFailureBadCredentialsEvent event) { // 处理认证失败事件 String username = event.getAuthentication().getName(); System.out.println("User " + username + " failed to log in"); } }

3. 安全日志

安全日志配置：

logging: level: org.springframework.security: DEBUG spring: security: oauth2: client: registration: github: client-id: ${GITHUB_CLIENT_ID} client-secret: ${GITHUB_CLIENT_SECRET}

五、生产环境配置

1. 密钥管理

使用环境变量：

spring: security: oauth2: client: registration: github: client-id: ${GITHUB_CLIENT_ID} client-secret: ${GITHUB_CLIENT_SECRET}

使用密钥库：

@Configuration public class JwtConfig { @Bean public KeyPair keyPair() { try { KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(new FileInputStream("keystore.jks"), "password".toCharArray()); PrivateKey privateKey = (PrivateKey) keyStore.getKey("jwt", "password".toCharArray()); PublicKey publicKey = keyStore.getCertificate("jwt").getPublicKey(); return new KeyPair(publicKey, privateKey); } catch (Exception e) { throw new RuntimeException(e); } } }

2. 安全监控

集成 Actuator：

management: endpoints: web: exposure: include: health,info,metrics,prometheus,security security: enabled: true

安全审计：

@Configuration @EnableAuditing public class AuditConfig { @Bean public AuditorAware<String> auditorAware() { return () -> Optional.ofNullable(SecurityContextHolder.getContext().getAuthentication()) .map(Authentication::getName); } }

六、常见问题与解决方案

1. 密码安全

问题：密码存储不安全

解决方案：

使用 Argon2PasswordEncoder
定期更新密码
启用多因素认证

2. 授权绕过

问题：权限控制不严格导致授权绕过

解决方案：

使用基于表达式的访问控制
定期进行安全审计
实现细粒度的权限检查

3. 会话固定

问题：会话固定攻击

解决方案：

启用会话重生成
使用 HttpSessionIdResolver
合理设置会话超时

七、实战案例

案例：企业级应用安全架构

需求：

支持多种认证方式（用户名密码、OAuth 2.0、SAML）
细粒度的权限控制
安全审计和监控
高可用性

实现：

@Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/public/**").permitAll() .requestMatchers("/api/**").authenticated() .requestMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login") .permitAll() ) .oauth2Login(withDefaults()) .saml2Login(withDefaults()) .logout(logout -> logout .logoutSuccessUrl("/login?logout") .permitAll() ) .sessionManagement(session -> session .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) .maximumSessions(1) ) .csrf(csrf -> csrf .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) ); return http.build(); } }