Spring Security(对于Webflux)-仅对一个端点禁用基于HTTPS的mTLS(保留其余的mTLS / SSL)

时间:2020-09-28 21:58:31

标签: ssl spring-security spring-webflux spring-boot-actuator

关于如何使用Spring Security来通过mTLS(两种方式的SSL)禁用某些特定端点的快速问题,但请仅指定那些端点?

背景:我们有一个SpringBoot Webflux + Spring Security + Spring Actuator Web应用程序,它具有一些业务端点(例如/ business)和一些非业务端点(例如/ health / metrics,还包括/ custom-non-actuator-非企业)

整个Web应用程序(因此为/ business端点)必须通过HTTPS。 已经执行测试并验证了业务端点。

现在,我们只想公开那些/ health / metrics / custom-non-actuator-non-business,但仍通过HTTPS(不是HTTP)公开,但允许“跳过” mTLS。

我们想要实现这一目标:

  • 不为整个应用禁用HTTPS。
  • 不为/ business端点禁用mTLS / SSL。
  • 通过不通过HTTP公开/ health / metrics,/ custom-non-actuator-non-business,保留HTTPS(执行器没有management.server.ssl.enabled = false,而且我们仍然有一个自定义的非执行器端点)
  • 不公开其他端口集。

这有可能实现吗?

非常感谢!

0 个答案:

没有答案
相关问题
最新问题