使用 Lambda DSL 安全配置 H2 控制台

本文旨在介绍如何使用 Spring Security 的 Lambda DSL 安全地配置 H2 控制台。通过示例代码和详细解释，帮助开发者理解并掌握使用 Lambda DSL 配置 H2 控制台的正确方法，避免常见的配置错误，确保应用程序的安全性。

Spring Security 提供了 Lambda DSL，使得安全配置更加简洁和易读。然而，在使用 Lambda DSL 配置 H2 控制台时，可能会遇到一些问题。本文将详细介绍如何使用 Lambda DSL 正确地配置 H2 控制台，并提供一些常见的错误示例和解决方法。

核心思路：一致使用 Lambda 语法

在使用 Lambda DSL 时，需要保持一致的语法风格。如果使用了 Lambda DSL 来配置 authorizeRequests，那么也应该使用 Lambda DSL 来配置 csrf 和 headers 等。

正确配置示例

以下是使用 Lambda DSL 安全配置 H2 控制台的示例代码：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.servlet.util.matcher.MvcRequestMatcher;
import org.springframework.web.servlet.handler.HandlerMappingIntrospector;

import static org.springframework.security.config.Customizer.withDefaults;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http, HandlerMappingIntrospector introspector) throws Exception {
        MvcRequestMatcher h2ConsoleMatcher = new MvcRequestMatcher(introspector, "/h2-console/**");
        h2ConsoleMatcher.setRegistered(true);

        http
            .authorizeHttpRequests((authz) -> authz
                .requestMatchers(h2ConsoleMatcher).authenticated()
                .anyRequest().authenticated()
            )
            .formLogin(withDefaults())
            .csrf(csrf -> csrf.ignoringRequestMatchers(h2ConsoleMatcher))
            .headers(headers -> headers.frameOptions().sameOrigin());
        return http.build();
    }
}

代码解释：

1. authorizeHttpRequests: 使用 Lambda 表达式 (authz) -> ... 配置授权规则。requestMatchers(h2ConsoleMatcher).authenticated() 表示对 /h2-console/** 下的请求需要进行身份验证。anyRequest().authenticated() 表示所有其他请求也需要身份验证。
2. formLogin(withDefaults()): 启用默认的表单登录。
3. csrf: 使用 Lambda 表达式 csrf -> csrf.ignoringRequestMatchers(h2ConsoleMatcher) 配置 CSRF 保护，并忽略对 /h2-console/** 的 CSRF 保护。 由于Spring Security 6 默认开启了CSRF保护，因此需要显式地忽略H2控制台。
4. headers: 使用 Lambda 表达式 headers -> headers.frameOptions().sameOrigin() 配置 HTTP 头部，设置 frameOptions 为 sameOrigin，允许同源域名下的页面嵌入 H2 控制台。

常见错误示例及解决方法

以下是一些常见的错误示例以及如何解决它们：

• 混合使用旧语法和 Lambda DSL：

  错误示例：

  http
      .authorizeRequests((authz) -> authz
          .antMatchers("/h2-console/**").authenticated()
          .anyRequest().authenticated()
      )
      .formLogin()
      .csrf().ignoringAntMatchers("/h2-console/**")
      .headers().frameOptions().sameOrigin();

  解决方法：

  保持一致的 Lambda DSL 风格，使用 csrf(csrf -> csrf.ignoringAntMatchers("/h2-console/**")) 和 headers(headers -> headers.frameOptions().sameOrigin())。

• csrf() 方法未定义：

  错误信息：The method csrf() is undefined for the type FormLoginConfigurer

  原因：使用了不正确的语法，csrf() 方法应该在 HttpSecurity 对象上调用，而不是在 FormLoginConfigurer 对象上。

  解决方法：

  使用 Lambda DSL 配置 csrf，例如：http.csrf(csrf -> csrf.ignoringAntMatchers("/h2-console/**"))。

注意事项

• Spring Security 6 默认启用了 CSRF 保护，因此需要显式地禁用对 H2 控制台的 CSRF 保护，否则将无法访问 H2 控制台。

• 确保在 application.properties 或 application.yml 文件中启用 H2 控制台：

  spring.h2.console.enabled=true

• 如果使用了自定义的登录页面，需要确保登录页面包含 CSRF token。

总结

使用 Spring Security 的 Lambda DSL 可以更简洁地配置 H2 控制台的安全策略。关键在于保持一致的 Lambda DSL 语法，并注意 Spring Security 6 的默认 CSRF 保护机制。通过本文提供的示例代码和注意事项，可以避免常见的配置错误，确保 H2 控制台的安全访问。