Spring Security 6.0.0-RC1、5.8.0-RC1、5.7.4 & 5.6.8 发布


Spring Security 四个分支发布了更新:6.0.0-RC1、5.8.0-RC1、5.7.4 & 5.6.8。

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

6.0.0-RC1

此版本更新内容包含破坏性变更、引入新特性、升级依赖和修复 bug。

新特性

  • 添加 'securityMatcher' 作为 'requestMatcher' 的别名 #11945
  • 为 OAuth2 客户端的 schemas 添加原生提示 #11920
  • 为用户 JDBC schema 添加原生提示 #11907
  • 将静态工厂方法添加到 RequestMatcher 实现 #11978
  • shouldFilterAllDispatcherTypes添加 XML 支持 #11971
  • 支持自动管理文档版本 (with collector) #11957
  • 更改 XML 默认 use-authorization-manager="true" #11929
  • 在 XML 中默认设置为 shouldFilterAllDispatcherTypes=true #11970
  • 弃用 HPKP security header #11937
  • 启用 authenticationIsRequired 以被覆盖并进行自定义检查 #10971
  • HttpSecurityConfiguration 支持配置 ContentNegotiationStrategy #11922
  • 可观测性 #11906
  • SessionManagementDsl.requireExplicitAuthenticationStrategy #11928
  • 简化 Java 配置 RequestMatcher 使用 #11940
  • 更智能的 HttpSession 访问 #6125
  • Update What's New in 6.0 #12024

详情查看 release note。

5.8.0-RC1

此版本更新内容同样包含破坏性变更、引入新特性、升级依赖和修复 bug。

新特性

  • 支持在 supplier 中缓存 Xor CSRF token #11988
  • 修复 CSRF tokens 容易受到 BREACH 攻击问题 #4001
  • 弃用 AccessDecisionManager 和相关类 #11302
  • 弃用 HPKP security header #10144
  • 将 csrfTokenRequestHandler 添加到 Kotlin DSL #11952
  • 新增 DeferredSecurityContext 和 DelegatingSecurityContextRepository #12044
  • ……

详情查看 release note。

Spring Security 5.7.4 和 5.6.8 主要是修复错误和升级依赖,详情查看 release note。


相關推薦

2022-11-23

Spring Security 6.0 现已普遍可用。与此同时 Spring Security 5.8 也已全面上市,以简化到 6.0 的升级。 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应

2022-05-20

Spring Security 是一个 Java/Java EE 框架,为企业应用提供认证、授权和其他安全功能。该项目于 2004 年 3 月在 Apache 许可下公开发布。随后被纳入 Spring 组合,成为 Spring 的官方子项目。 Spring Security 6.0.0-M5 现已正式发布,这个版本包

2023-11-22

Spring Security 6.2 已正式 GA。 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Invers

2023-05-18

Spring Security 6.1 已正式 GA。 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion o

2022-08-18

Spring Security 的三个分支发布了更新:5.8.0-M2、5.7.3 和 5.6.7。 5.8.0-M2 此版本更新内容包括升级依赖项、修复错误和增强功能。下面是部分值得注意的变化: 为 SAML post pages 提供基于哈希的内容安全策略 支持自定义重定向策

2022-04-21

Spring Security 的三个分支发布了更新:5.6.3、5.5.6 和 5.7.0-RC1。 5.7.0-RC1 主要变化 引入 SecurityContextHolderFilter - 用于显式保存 SecurityContext 为 Cross Origin Policies headers 添加 DSL 支持 支持为加密客户端配置 PKCE

2022-06-22

烈建议使用 Spring Authorization Server 替换已经过时的 Spring Security OAuth2.0。 在 Spring Security OAuth2 彻底停止维护、Spring Boot 2.7.0 正式发布之时,又恰逢 Eurynome Cloud 开源一周年之际,推出基于 Spring Authorization Server 0.3.0、Spring Boot 2.7.0、

2022-11-23

1.0 现已正式发布,Spring Authorization Server 是 Spring Security 团队领导的社区驱动项目,致力于解决 Spring 社区的 OAuth 2.0 Authorization Server 支持问题。 公告称,自 2020 年 4 月 2 日首次提交以来,Spring Authorization S

2022-06-13

烈建议使用 Spring Authorization Server 替换已经过时的 Spring Security OAuth2.0。 在 Spring Security OAuth2 彻底停止维护、Spring Boot 2.7.0 正式发布之时,又恰逢 Eurynome Cloud 开源一周年之际,推出基于 Spring Authorization Server 0.3.0、Spring Boot 2.7.0、

2022-05-26

烈建议使用 Spring Authorization Server 替换已经过时的 Spring Security OAuth2.0。 在 Spring Security OAuth2 彻底停止维护、Spring Boot 2.7.0 正式发布之时,又恰逢 Eurynome Cloud 开源一周年之际,推出基于 Spring Authorization Server 0.2.3、Spring Boot 2.7.0、

2022-05-23

烈建议使用 Spring Authorization Server 替换已经过时的 Spring Security OAuth2.0。距离 2022年5月28日,Spring Security OAuth2.0 结束生命周期还有几天的时间,所以用 Spring Authorization Server 对已有的 Eurynome Cloud 微服务架构进行升级,以应对依赖组

2022-09-23

化 Token 过期检测逻辑,调整时钟偏移(Clock Skew),与 Spring Security OAuth2 Jose 默认实现逻辑保持一致。fix: #I5RWGA(ISSUED by 狂练胸肌李大懒) [优化] 优化前端封装 Axios 代码中阻止重复提交属性名称,将其修改为更容易理解的变量名

2022-08-04

`URL` 权限,通过后端动态配置,无须在代码中配置 `Spring Security` 权限注解以及权限方法,即可实现接口鉴权以及权限的动态修改。采用分布式鉴权方案,规避 Gateway 统一鉴权的压力以及重复鉴权问题 动态权限数据分发:采用

2022-08-10

信验证码、微信小程序、第三方应用登录。 遵照 Spring Security 5 以及 Spring Authorization Server 的代码规范,进行 OAuth2 认证服务器核心代码的开发,遵照其使用 Jackson 反序列化的方式, 增加大量自定义 Jackson Module。 支持 Spring Auth