如何为 Spring Security 启用日志记录？

假设您使用的是 Spring Boot，另一种选择是将以下内容放入您的 application.properties：

logging.level.org.springframework.security=DEBUG

对于大多数其他 Spring 模块也是如此。

如果您不使用 Spring Boot，请尝试在日志配置中设置属性，例如 logback。

这里也是 application.yml 版本：

logging:
  level:
    org:
      springframework:
        security: DEBUG

---

您可以使用 @EnableWebSecurity 注释的选项轻松启用调试支持：

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

---

使用 Spring 的 DebugFilter 进行基本调试可以这样配置：

@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.debug(true);
    }
}

---

您可以使用 @EnableWebSecurity 注释的选项轻松启用调试支持：

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

如果您需要特定于配置文件的控制，请在 application-{profile}.properties 文件中

org.springframework.security.config.annotation.web.builders.WebSecurity.debugEnabled=false

获取详细帖子：http://www.bytefold.com/enable-disable-profile-specific-spring-security-debug-flag/

---

我们总是可以使用以下配置检查 Spring Security 中注册的过滤器

@EnableWebSecurity(debug=true) - 我们需要启用安全细节的调试 通过在 application.properties logging.level.org.springframework.security.web.FilterChainProxy=DEBUG 中添加以下属性来启用细节的日志记录

下面提到在身份验证流程中执行的 Spring Security 的一些内部过滤器：

Security filter chain: [
  CharacterEncodingFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextPersistenceFilter
  HeaderWriterFilter
  CsrfFilter
  LogoutFilter
  X509AuthenticationFilter
  UsernamePasswordAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  RememberMeAuthenticationFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  FilterSecurityInterceptor
]

---

从版本 5.4.0-M2 开始，现在可以使用用于 webflux 反应式应用程序的 Spring 安全日志记录（如评论 How do I enable logging for Spring Security? 中的 @bzhu 所述）

在进入 GA 版本之前，这里是如何在 gradle 中获得这个里程碑版本

repositories {
    mavenCentral()
    if (!version.endsWith('RELEASE')) {
        maven { url "https://repo.spring.io/milestone" }
    }
}

// Force earlier milestone release to get securing logging preview
// https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting-gradle-boot
// https://github.com/spring-projects/spring-security/pull/8504
// https://github.com/spring-projects/spring-security/releases/tag/5.4.0-M2
ext['spring-security.version']='5.4.0-M2'
dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:${springCloudVersion}"
    }

}

---

将 Spring Boot 与默认的 spring 安全过滤器一起使用（无需自定义任何内容，甚至无需在 EnableWebSecurity 注释中设置调试），将 TRACEP 设置为以下 application.properties 所示：

logging.level.org.springframework.security=TRACE

它足以详细显示正在调用哪些过滤器以及它们在做什么。

TRACE w.c.HttpSessionSecurityContextRepository : No HttpSession currently exists
TRACE w.c.HttpSessionSecurityContextRepository : Created SecurityContextImpl [Null authentication]
DEBUG w.c.HttpSessionSecurityContextRepository : Created HttpSession as SecurityContext is non-default
...
DEBUG o.s.security.web.FilterChainProxy        : Securing POST /api/product/productname01
TRACE o.s.security.web.FilterChainProxy        : Invoking WebAsyncManagerIntegrationFilter (1/16)
...
TRACE o.s.security.web.FilterChainProxy        : Invoking CsrfFilter (5/16)
DEBUG o.s.security.web.csrf.CsrfFilter         : Invalid CSRF token found for http://localhost/api/product/productname01
DEBUG o.s.s.w.access.AccessDeniedHandlerImpl   : Responding with 403 status code

版本：

Spring Framework Bom version 5.3.16
Spring Boot 2.6.4
Spring 5.3.16
Spring Security 5.6.2

---