Spring Security 四个分支发布了更新:6.0.0-RC1、5.8.0-RC1、5.7.4 & 5.6.8。
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
6.0.0-RC1
此版本更新内容包含破坏性变更、引入新特性、升级依赖和修复 bug。
新特性
- 添加 'securityMatcher' 作为 'requestMatcher' 的别名 #11945
- 为 OAuth2 客户端的 schemas 添加原生提示 #11920
- 为用户 JDBC schema 添加原生提示 #11907
- 将静态工厂方法添加到 RequestMatcher 实现 #11978
- 为
shouldFilterAllDispatcherTypes
添加 XML 支持 #11971 - 支持自动管理文档版本 (with collector) #11957
- 更改 XML 默认 use-authorization-manager="true" #11929
- 在 XML 中默认设置为 shouldFilterAllDispatcherTypes=true #11970
- 弃用 HPKP security header #11937
- 启用 authenticationIsRequired 以被覆盖并进行自定义检查 #10971
- HttpSecurityConfiguration 支持配置 ContentNegotiationStrategy #11922
- 可观测性 #11906
- SessionManagementDsl.requireExplicitAuthenticationStrategy #11928
- 简化 Java 配置 RequestMatcher 使用 #11940
- 更智能的 HttpSession 访问 #6125
- Update What's New in 6.0 #12024
详情查看 release note。
5.8.0-RC1
此版本更新内容同样包含破坏性变更、引入新特性、升级依赖和修复 bug。
新特性
- 支持在 supplier 中缓存 Xor CSRF token #11988
- 修复 CSRF tokens 容易受到 BREACH 攻击问题 #4001
- 弃用 AccessDecisionManager 和相关类 #11302
- 弃用 HPKP security header #10144
- 将 csrfTokenRequestHandler 添加到 Kotlin DSL #11952
- 新增 DeferredSecurityContext 和 DelegatingSecurityContextRepository #12044
- ……
详情查看 release note。
Spring Security 5.7.4 和 5.6.8 主要是修复错误和升级依赖,详情查看 release note。