監査
Spring Security が動作すると、Spring Boot Actuator にはイベント(デフォルトでは「認証成功」、「失敗」、「アクセス拒否」の例外)を公開する柔軟な監査フレームワークがあります。この機能は、レポートおよび認証失敗に基づいたロックアウトポリシーの実装に非常に役立ちます。
アプリケーションの構成で型 AuditEventRepository
の Bean を提供することにより、監査を有効にできます。便宜上、Spring Boot は InMemoryAuditEventRepository
を提供しています。InMemoryAuditEventRepository
の機能には制限があるため、開発環境でのみ使用することをお勧めします。本番環境では、独自の代替 AuditEventRepository
実装を作成することを検討してください。
カスタム監査
公開されたセキュリティイベントをカスタマイズするには、AbstractAuthenticationAuditListener
および AbstractAuthorizationAuditListener
の独自の実装を提供できます。
独自のビジネスイベントに監査サービスを使用することもできます。そのためには、AuditEventRepository
Bean を独自のコンポーネントに挿入して直接使用するか、AuditApplicationEvent
を Spring ApplicationEventPublisher
で公開します(ApplicationEventPublisherAware
を実装することにより)。