对于最新的稳定版本，请使用 Spring Security 6.4.1！spring-doc.cadn.net.cn

Spring Security 6.0 中的新增功能

Spring Security 6.0 提供了许多新功能。以下是该版本的亮点。spring-doc.cadn.net.cn

基线更改

Spring Security 6 需要 JDK 17spring-doc.cadn.net.cn

重大更改

gh-8980 - 删除 unsafe/已弃用Encryptors.querableText(CharSequence,CharSequence). 而是使用数据存储来加密值。spring-doc.cadn.net.cn
gh-11520 - 记住我默认使用 SHA256spring-doc.cadn.net.cn
gh-8819 - 将过滤器移动到 Web 包重新组织导入spring-doc.cadn.net.cn
gh-7349 - 将筛选器和令牌移动到适当的软件包重新组织导入spring-doc.cadn.net.cn
gh-11026 - 用途RequestAttributeSecurityContextRepository而不是NullSecurityContextRepositoryspring-doc.cadn.net.cn
gh-11827 - 更改的默认权限oauth2Login()spring-doc.cadn.net.cn
GH-10347 - 删除UsernamePasswordAuthenticationToken登记BasicAuthenticationFilterspring-doc.cadn.net.cn
gh-11923 - 删除WebSecurityConfigurerAdapter. 相反，请创建一个SecurityFilterChain Bean。spring-doc.cadn.net.cn
gh-11899 - 用途MvcRequestMatcher如果存在 Spring MVC，则默认为。您可以配置不同的RequestMatcher通过使用 <http> 中的 request-matcher 属性。spring-doc.cadn.net.cn
将 use-authorization-manager=“true” 更改为默认值如果应用程序使用use-expressions="true"或access-decision-manager-ref切换到use-expressions="false"或authorization-manager-ref分别。如果 application 依赖于隐式的<intercept-url pattern="/**" access="permitAll"/>，这不再是隐式的，需要指定。或使用use-authorization-manager="false"spring-doc.cadn.net.cn
gh-11939 - 删除已弃用antMatchers,mvcMatchers,regexMatchersJava 配置中的 helper 方法。相反，请使用requestMatchers或HttpSecurity#securityMatchers.spring-doc.cadn.net.cn
gh-11985 - 删除Argon2PasswordEncoder,SCryptPasswordEncoder和Pbkdf2PasswordEncoder.spring-doc.cadn.net.cn
gh-11960 - 默认为 servlet 和反应式 CSRF 保护spring-doc.cadn.net.cn
gh-12019 - 删除已弃用的方法setTokenFromMultipartDataEnabled从CsrfWebFilterspring-doc.cadn.net.cn
gh-12020 - 删除已弃用的方法tokenFromMultipartDataEnabled从 Java 配置spring-doc.cadn.net.cn
GH-9429 系列 - Authentication(Web)Filter重新引发 'AuthenticationServiceException 的spring-doc.cadn.net.cn
gh-11027、gh-11466 - 每个 Dispatcher 类型的授权spring-doc.cadn.net.cn
gh-11110 - 默认情况下需要显式会话保存spring-doc.cadn.net.cn
GH-11057 - 删除MessageSourceAware从ExceptionTranslationWebFilterspring-doc.cadn.net.cn
gh-12202 - 删除 OAuth 弃用spring-doc.cadn.net.cn
gh-10556 - 删除 EOL OpenSaml 3 支持。请改用 OpenSaml 4 支持。spring-doc.cadn.net.cn
gh-11077 - 删除 SAML 弃用spring-doc.cadn.net.cn
- 删除Converterconstructors 从Saml2MetadataFilter和Saml2AuthenticationTokenConverterspring-doc.cadn.net.cn
- 删除Saml2AuthenticationRequestContextResolver和Saml2AuthenticationRequestFactory和实现spring-doc.cadn.net.cn
- 删除Saml2AuthenticationToken(String, String, String, String, List)spring-doc.cadn.net.cn
- 删除RelyingPartyRegistration.ProviderDetails和相关方法spring-doc.cadn.net.cn
- 删除OpenSamlAuthenticationProviderspring-doc.cadn.net.cn
gh-12180 - 注册FilterChainProxy适用于所有 Dispatcher 类型spring-doc.cadn.net.cn

核心

gh-11446 - 添加对@PreAuthorizespring-doc.cadn.net.cn
gh-11737 - 添加对@PostAuthorizespring-doc.cadn.net.cn
检测AuthenticationManager,AuthorizationManager和FilterChainProxyspring-doc.cadn.net.cn
检测ReactiveAuthenticationManager,ReactiveAuthorizationManager和WebFilterChainProxyspring-doc.cadn.net.cn

LDAP 协议

gh-9276 - 对 LdapAuthoritiesPopulator 进行后处理spring-doc.cadn.net.cn

Web

GH-11432 系列 - CookieServerCsrfTokenRepository支持 Maxagespring-doc.cadn.net.cn