|
对于最新稳定版本,请使用 Spring Boot 4.0.4! |
审计
一旦启用 Spring Security,Spring Boot Actuator 就会提供一个灵活的审计框架,用于发布事件(默认包括“认证成功”、“认证失败”和“访问被拒绝”异常)。 此功能对于生成报告以及基于认证失败实现账户锁定策略非常有用。
您可以通过在应用程序配置中提供类型为 AuditEventRepository 的 Bean 来启用审计功能。
为方便起见,Spring Boot 提供了一个 InMemoryAuditEventRepository。
InMemoryAuditEventRepository 的功能有限,我们建议仅将其用于开发环境。
对于生产环境,请考虑创建您自己的替代 AuditEventRepository 实现。
自定义审计
要自定义发布的安全事件,您可以提供 AbstractAuthenticationAuditListener 和 AbstractAuthorizationAuditListener 的自有实现。
您也可以将审计服务用于您自己的业务事件。
为此,您可以将 AuditEventRepository Bean 注入到您自己的组件中并直接使用,或者通过实现 ApplicationEventPublisherAware,利用 Spring 的 ApplicationEventPublisher 发布一个 AuditApplicationEvent。