Spring Bootアプリケーションを2.0.0マイルストーンリリースでアップグレードしている間に、2.0.0.M4 security.require-ssl
およびその他のセキュリティ設定オプション去ってしまった。私はcurrent docsの中で非難または新しいアプローチの言及を見つけなかったので、私は掘り出して、the GitHub issue where the work originatedを見つけました。Spring Boot 2.0.0.M4を使用していくつかの環境でSSLを要求する方法+
は、2.0のセキュリティ設定を大幅に簡素化するために、GitHubの問題の目標に拍手を捧げます。
私のパターンをアップグレードするのはうれしいですが、私は特定の環境でSSLを要求する方法についてちょっと固執しています。私はWebSecurityConfigurerAdapter
の設定でhttp.requiresChannel().anyRequest().requiresSecure()
を使用して同様の結果を達成できますが、アプリケーションを実行するすべての環境(たとえば、証明書なしのプロダクション環境、localhostのローカル開発など)でこの設定を有効にしたくありません。私はWebSecurityConfigurerAdapter
構成にいくつかの条件付きロジックを入れることができると知っていますが、私はSpring環境設定を "環境にとらわれない"ように保ち、プロファイルに固有のプロパティファイルに自分の環境固有の設定を保持します。
最近、Spring Bootのセキュリティ設定が単純に変更された後、一部の環境でSSLを要求する推奨アプローチはありますか?