Spring Security 5.2.0.M3 发布,Spring 安全框架

Spring Security 5.2.0.M3 已发布,更新内容如下:

OAuth 2.0

  • 支持 Reactive Resource Server 中的多租户
  • 支持 Opaque Token 中的自定义参数
  • 为 OAuth2 redirectUriTemplate 添加 scheme/protocol 变量
  • OAuth2 登录具有可配置的 身份验证成功 处理程序
  • JWT 和 opaque 令牌具有可配置的身份验证管理器
  • 在测试中支持模拟 JWT

与其他请求后处理器类似, jwt() 可用于使用 JwtAuthenticationToken建立 SecurityContext

1
2
mockMvc.perform(get("/")
       .with(jwt(jwt -> jwt.claim("scope", "message:read"))));

Core

  • 添加 nohttp 进行构建
  • 支持消息表达式中的路径变量
  • 配置类是无代理的,并且支持 proxyBeanMethods=false

此特性包括对AbstractSecurityWebSocketMessageBrokerConfigurer 和 GlobalMethodSecurityConfiguration类的更改。

为了适应这些变化,扩展 AbstractSecurityWebSocketMessageBrokerConfigurer的用户覆盖方法 inboundChannelSecurity 将需要更新方法签名来匹配以下内容:

1
2
3
4
5
@Bean
public ChannelSecurityInterceptor inboundChannelSecurity(
    MessageSecurityMetadataSource messageSecurityMetadataSource) {
// implementation
}

相似地,用户扩展 GlobalMethodSecurityConfiguration 需要更新方法签名以匹配以下内容:

1
2
3
4
5
@Bean
public MethodInterceptor methodSecurityInterceptor(
    MethodSecurityMetadataSource methodSecurityMetadataSource) {
// implementation
}

Web

支持 X509 Reactive

发布公告