Spring Security 5.0.0正式发布

最新推荐文章于 2024-07-24 10:55:44 发布
原创 最新推荐文章于 2024-07-24 10:55:44 发布 · 100 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。

Spring Security 5.0.0 版本已由 Pivotal 正式发布,这是自 2015 年以来的第一个重大版本更新。此版本主要包含对 OAuth2.0 的支持、Spring WebFlux 支持以及现代化的密码存储等功能。此外,该版本还引入了反应式安全特性,并且只需最低限度地支持 JDK 8。

Pivotal正式发布Spring Security 5.0.0,是2015年3月发布4.0.0版本以来的第一个大版本。

\\

Spring Security诞生于2004年,当时叫作Acegi,现在由Pivotal工程师Robert Winch领导开发,Robert是Spring SecuritySpring Security 3.1的合著者。5.0.0版本包含了400多项改进和问题修复,包括支持OAuth 2.0、支持Spring WebFlux、可以使用Reactor的StepVerifier进行测试。

\\

InfoQ就Spring Security 5.0.0版本的发布和未来计划问题采访了Robert Winch。

\\

InfoQ:新版本的更新站点看起来很稳定。你能概括一下这一版本的内容吗?

\\
Winch:Spring Security 5.0.0的主要亮点在于它只需要最小化的JDK 8、反应式安全特性、OAuth 2.0(OIDC)和现代密码存储。
\\

InfoQ:你们是怎么想到现代密码存储这个主意的?又是如何实现的?

\\
Winch:在Spring Security 5.0.0之前,密码是明文保存,十分不安全。因为这一次发布的是大版本,所以我们决定使用更安全的密码存储方式。 我们有幸与密码存储专家John Steven合作,他是OWASP密码存储手册的主要作者。Spring Security现在默认提供的是最新的密码存储方式。当然,我们也可以使用其他方式来存储密码。
\\

InfoQ:Spring让我印象深刻的地方在于,它总是能够急我们之所急,为我们提供我们缺失的功能。你们是如何决定推出哪些特性的?

\\
Winch:我们关注社区进展,为呼声较高的问题制定解决方案。结果就是要使用最小化的JDK 8,并通过Reactor项目来支持反应式编程。
\\

InfoQ:你们打算加快Spring Security的发布速度吗?就像Juergen Hoeller所说的那样,在更短的时间周期内交付已经准备好的特性?

\\
Winch:是的。Spring Security尝试跟上Spring框架的脚步,确保为Spring框架提供安全保护。
\\

InfoQ:下一个版本的计划是什么?

\\
Winch:下一版本,我们计划把精力集中在完善反应式和OAuth上面。我们也会提供一些工具用于迁移现有的密码。我们也希望能够发布初始版本的OAuth资源服务器。
\\

现在让我们来看看增强的方法级别的安全(示例来自Spring Security网站)。

\\

可以使用@EnableGlobalMethodSecurity来启用基于注解的安全,只要这个类也使用了@Configuration。例如:

\\ 
\@Configuration\@EnableGlobalMethodSecurity(securedEnabled = true)\public class MethodSecurityConfig {\// ...\}
\\

然后就可以实现方法级别的安全:

\\ 
\public interface BankService {\\@Secured(\"IS_AUTHENTICATED_ANONYMOUSLY\")\public Account readAccount(Long id);\\@Secured(\"IS_AUTHENTICATED_ANONYMOUSLY\")\public Account[] findAccounts();\\@Secured(\"ROLE_TELLER\")\public Account post(Account account, double amount);\}
\\

有时候可能需要比GlobalMethodSecurity更灵活的方式,那么可以通过扩展GlobalMethodSecurityConfiguration来实现自定义安全策略,并在这个类上面加上@EnableGlobalMethodSecurity:

\\ 
\@EnableGlobalMethodSecurity(prePostEnabled = true)\public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {\\t@Override\\tprotected MethodSecurityExpressionHandler createExpressionHandler() {\\t\t// ... create and return custom MethodSecurityExpressionHandler ...\\t\treturn expressionHandler;\\t}\}
\\

Reactor项目的反应式流有一个特性,它支持将等待中的线程分配给新的任务作业,这就给实现ThreadLocal类型映射带来了新的挑战。Reactor为此提供了Context API,它是一种反应式的ThreadLocal map。

\\

在5.0.0版本里,可以通过ReactiveSecurityContextHolder.getContext()方法访问反应式Context,并在方法调用过程中使用token(以及其他应用程序相关数据)。

\\

查看英文原文Spring Security 5.0.0 Released

5.Spring Security-web权限方案
卷土的博客
05-05 569
spring security中的用户接口和实现类UserUser类中的构造器(用户名,密码,权限集合)定义配置类继承类@Autowired@Override@Bean定义类实现接口@Override这里就可以写入查询数据库的验证用户的逻辑spring:@Data@Autowired@Overridethrow new UsernameNotFoundException("用户名不存在");
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
SpringSecurity 5.0 认证、记住我、授权源码分析
weixin_30556161的博客
02-10 200
一、SpringSecurity 过滤器链:   1、SecurityContextPersistenceFilter 会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext,然后把它设置给SecurityContextHolder。   在请求完成后将SecurityContextHolder持有的SecurityContext再保...
Spring Security 5.0.x 参考手册 【翻译自官方GIT-2018.06.12】
热门推荐
hchhan的博客
06-12 2万+
源码请移步至:https://github.com/aquariuspj/spring-security/tree/translator/docs/manual/src/docs/asciidoc版本号:5.0.x 参考手册 【翻译自官方GIT - 2018.06.12】Spring Security参考手册Spring Security是一个强大且高度可定制的身份验证和访问控制框架。 这是保护基...
新版SpringSecurity5.x使用与配置
Alphamilk的博客
07-21 3638
了解SpringSecurity,并进行简单使用与配置
spring-5.0.0.Rjar包
10-11
Spring Security 5.0Spring 5.0同步发布,提供了更好的认证和授权机制,包括OAuth2.0、JWT等现代安全标准的支持,增强了应用的安全性。 总结,Spring 5.0.0.R版本的发布Spring框架的一次重要里程碑,它带来了...
spring框架5.0.0-m3中文帮助文档
05-21
10. **Spring Security**:这是一个强大的安全框架,提供了认证和授权功能,可以帮助开发者保护他们的Spring应用免受攻击。 通过阅读《Spring框架5.0.0-M3中文帮助文档》中的内容,开发者可以深入理解Spring的各个...
Spring-5.0.0-官方中文文档
02-13
7. **Spring Boot**:虽然不直接属于Spring框架,但Spring Boot是Spring生态的重要部分,Spring 5发布也意味着Spring Boot的升级,它简化了Spring应用的初始搭建和配置,让开发者更专注于业务逻辑。 8. **Spring ...
最新版spring-framework-5.0.0.RELEASE-docs.zip源码
10-25
综上所述,Spring Framework 5.0.0.RELEASE 的发布为开发者提供了更多的功能和优化,尤其是在反应式编程、HTTP/2支持和安全性方面。通过深入研究这些源码和文档,开发者可以更好地掌握Spring框架,提升开发效率和...
spring-framework-5.0.0.RELEASE-docs.zip
01-07
Spring SecuritySpring生态中的重要组件,5.0.0.RELEASE版本与Spring Framework 5的集成更加紧密,提供了一整套安全解决方案,包括身份验证、授权、CSRF防护等,保障了应用的安全性。 十、持续集成与社区支持 ...
Spring Security5+ 用户认证、授权及注销
静水流深,沧笙踏歌
04-16 3099
Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。虽然拦截器、过滤器也可以在一定程度上起到安全认证的作用,但是对码农来说,大量原生的代码及代码冗余,十分的不友好。本文以Spring Security5.6.2版本来对用户认证、授权、注销及权限控制做个说明。 一、Spring Security简单介绍 1、到博主写博客的时间为止,Spring Secur
入门学习SpringSecurity,这一篇就够了
大河之犬的博客
12-16 986
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。!
Spring Security5 反应式应用实用指南(一)
最新发布
龙哥盟
07-24 889
安全是创建应用程序最困难和高压的问题之一。当您必须将其与现有代码、新技术和其他框架集成时,正确保护应用程序的复杂性会增加。本书将向读者展示如何使用经过验证的 Spring Security 框架轻松保护他们的 Java 应用程序,这是一个高度可定制和强大的身份验证和授权框架。Spring Security 是一个著名的、成熟的 Java/JEE 框架,可以为您的应用程序提供企业级的安全功能,而且毫不费力。它还有一些模块,可以让我们集成各种认证机制,我们将在本书中使用实际编码来深入研究每一个认证机制。
SpringSecurity最新版本使用总结
very_Coolpad的博客
12-28 3085
​ https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter官方文档说的是:To assist with the transition to this new style of configuration, we have compiled a list of common use-cases and the suggested alternatives going forward.I
spring security 学习和踩坑总结(入门)
布吉_岛
09-23 2万+
Java Web项目的权限管理框架,目前有两个比较成熟且使用较多的框架,Shiro 和 Spring Security ,Shiro 比 Spring Security更加轻量级,但是需要手动配置的东西较多,Spring SecuritySpring 集成更好,甚至直接适配了Spring Boot。 一、最简单的使用: 1.1、配置及使用 要使用Spring Security 首先要引...
关于学习 spring-security 5.0.2 出现的问题
我与风来
02-23 1052
在从官网 Hello Spring Security Java Config 学习的过程中,遇到了很多问题,下面是对问题的一些总结。如果始终无法按照教程导入,请首先看最后一个问题。 项目 导入问题 由于 Spring security 使用的是 Gradle 构建。所以 官网 所教导的通过 maven 所导入就行不通了。 通过 Gradle 导入并不是 web项目,无法发布到 tc 服务器上...
Spring Boot、Spring Security升级、版本选择、安全漏洞说明
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据三:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
Spring Framework 5.0.0官方完整包与文档下载
Spring 5.0.0.RELEASE是该框架的一个重大版本更新,于2017年发布。这个版本的主要亮点包括对Java 8+的全面支持,以及引入了对反应式编程模型的原生支持。Spring 5.0.0.RELEASE是第一个包含完全符合WebFlux(反应式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值