对于最新稳定版本，请使用 Spring Integration 7.0.0！spring-doc.cadn.net.cn

春季集成中的安全性

安全是任何现代企业（或云）应用中的重要职能之一。此外，对于分布式系统（如基于企业集成模式构建的系统）尤为关键。消息独立性和松耦合使目标系统能够通过消息中的任何类型的数据相互通信有效载荷. 我们可以选择信任所有这些消息，或者保护我们的服务免受“感染”消息的侵害。spring-doc.cadn.net.cn

从版本开始6.3整体Spring-集成-安全模块被移除，取而代之的是更常见的Spring-安全-消息图书馆。

保护通道

为了在集成流程中保护消息通道，需要授权通道拦截者必须添加到这些信道中，或者可以配置为具有相应模式的全局信道拦截器：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
XMLspring-doc.cadn.net.cn

@Bean
@GlobalChannelInterceptor(patterns = "secured*")
AuthorizationChannelInterceptor authorizationChannelInterceptor() {
    return new AuthorizationChannelInterceptor(AuthorityAuthorizationManager.hasAnyRole("ADMIN", "PRESIDENT"));
}

<channel-interceptor pattern="securedChannel*">
    <beans:bean class="org.springframework.security.messaging.access.intercept.AuthorizationChannelInterceptor">
        <beans:constructor-arg>
            <beans:bean class="org.springframework.security.authorization.AuthorityAuthorizationManager"
                        factory-method="hasAnyRole">
                <beans:constructor-arg>
                    <beans:array>
                        <beans:value>ADMIN</beans:value>
                        <beans:value>PRESIDENT</beans:value>
                    </beans:array>
                </beans:constructor-arg>
            </beans:bean>
        </beans:constructor-arg>
    </beans:bean>
</channel-interceptor>

更多信息请参见全球通道拦截器配置。spring-doc.cadn.net.cn

安全上下文传播

为了确保我们与应用的交互是安全的，按照其安全系统规则，我们应提供一定的安全上下文，包含一个认证（主）对象。 Spring Security 项目提供了一种灵活且规范的机制，通过 HTTP、WebSocket 或 SOAP 协议验证我们的应用客户端（就像任何其他集成协议一样，只需简单的 Spring Security 扩展即可实现）。它还提供了安全上下文用于对应用对象（如消息通道）进行进一步授权检查。默认情况下，安全上下文与当前的执行状态相关联线通过使用（线程本地安全上下文持有者策略). 它通过AOP（面向切面编程）拦截器通过安全方法访问，以检查（例如）是否主要调用有足够的权限调用该方法。这和当前的讨论串很合适。不过，通常处理逻辑可以在另一个线程、多个线程，甚至外部系统上执行。spring-doc.cadn.net.cn

如果我们的应用基于 Spring Integration 组件及其消息通道构建，标准线程绑定行为很容易配置。在这种情况下，受保护对象可以是任何服务激活器或变换器，并由方法安全拦截者在他们的<请求-处理-建议链>（参见“向端点添加行为”）甚至消息频道（参见前述的“保护通道”）使用直达频道通信，以及安全上下文自动可用，因为下游流运行在当前线程上。然而，在队列通道,执行者频道和发布订阅频道带有执行者，消息根据这些通道的特性，从一个线程传输到另一个线程（或多个线程）。为了支持此类情景，我们有两个选择：spring-doc.cadn.net.cn

转移一个认证在消息头部内的对象，并在安全对象访问前对其进行提取和认证。spring-doc.cadn.net.cn
传播安全上下文发送到接收传输消息的线程。spring-doc.cadn.net.cn

这被实现为org.springframework.security.messaging.context.SecurityContextPropagationChannelInterceptor在Spring-安全-消息模块，可以添加到任意消息频道或配置为@GlobalChannelInterceptor. 该拦截器的逻辑基于安全上下文从当前线程中提取（从preSend（）方法）并且从另一个线程中填充到另一个线程。postReceive（） (beforeHandle（））方法。参见安全上下文传播通道拦截器更多信息请参见Javadocs。spring-doc.cadn.net.cn

繁殖与种群安全上下文这只是工作的一半。由于消息不是消息流中线程的所有者，系统应确保其对任何进来消息都有保护，因此安全上下文必须从这里清理干净ThreadLocal. 这安全上下文传播通道拦截器提供afterMessageHandled（）拦截器方法的实现。它通过在调用结束时释放线程，从而清理作，摆脱该传播主体。这意味着，当处理交接消息的线程完成处理（无论是否成功）时，上下文会被清除，避免在处理其他消息时被误用。spring-doc.cadn.net.cn

使用异步网关时，应使用合适的摘要委托安全上下文支持实现自 Spring Security 并发支持，确保安全上下文传播通过网关调用实现。以下示例展示了如何实现：spring-doc.cadn.net.cn

@Configuration
@EnableIntegration
@IntegrationComponentScan
public class ContextConfiguration {

    @Bean
    public AsyncTaskExecutor securityContextExecutor() {
        return new DelegatingSecurityContextAsyncTaskExecutor(
                         new SimpleAsyncTaskExecutor());
    }

}

@MessagingGateway(asyncExecutor = "securityContextExecutor")
public interface SecuredGateway {

    @Gateway(requestChannel = "queueChannel")
    Future<String> send(String payload);

}