|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
需要显式保存 SecurityContextRepository
在 Spring Security 5 中,默认行为是使用 SecurityContextPersistenceFilter 自动将 SecurityContext 保存到 SecurityContextRepository。
保存必须在提交之前和之前完成。
不幸的是,在请求完成之前(即在提交 之前)完成 的自动持久性可能会让用户感到惊讶。
跟踪状态以确定是否需要保存也很复杂,有时会导致对(即)进行不必要的写入。HttpServletResponseSecurityContextPersistenceFilterSecurityContextHttpServletResponseSecurityContextRepositoryHttpSession
在 Spring Security 6 中,默认行为是 SecurityContextHolderFilter 只会从 中读取 并将其填充到 .
用户现在必须显式保存 with 如果他们希望在请求之间持续存在。
这消除了歧义,并通过仅在必要时写入(即)来提高性能。SecurityContextSecurityContextRepositorySecurityContextHolderSecurityContextSecurityContextRepositorySecurityContextSecurityContextRepositoryHttpSession
|
清除上下文时(例如在注销期间)也需要保存上下文。请参阅此部分以了解更多信息。 |
要选择加入新的 Spring Security 6 默认值,可以使用以下配置。
-
Java
-
Kotlin
-
XML
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.securityContext((securityContext) -> securityContext
.requireExplicitSave(true)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
securityContext {
requireExplicitSave = true
}
}
return http.build()
}<http security-context-explicit-save="true">
<!-- ... -->
</http>使用配置时,重要的是,任何设置 with a 的代码都会将 保存到 if 它应该在请求之间持久化。SecurityContextHolderSecurityContextSecurityContextSecurityContextRepository
例如,以下代码:
SecurityContextHolderSecurityContextPersistenceFilter-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);SecurityContextHolder.setContext(securityContext)应替换为
SecurityContextHolderSecurityContextHolderFilter-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);SecurityContextHolder.setContext(securityContext)
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse)|
清除上下文时(例如在注销期间)也需要保存上下文。请参阅此部分以了解更多信息。 |
更改为HttpSessionSecurityContextRepositoryDelegatingSecurityContextRepository
在 Spring Security 5 中,默认的 SecurityContextRepository 是 。HttpSessionSecurityContextRepository
在 Spring Security 6 中,默认值为 。
要选择加入新的 Spring Security 6 默认值,可以使用以下配置。SecurityContextRepositoryDelegatingSecurityContextRepository
-
Java
-
Kotlin
-
XML
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
// ...
.securityContext((securityContext) -> securityContext
.securityContextRepository(new DelegatingSecurityContextRepository(
new RequestAttributeSecurityContextRepository(),
new HttpSessionSecurityContextRepository()
))
);
return http.build();
}@Bean
fun securityFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
// ...
securityContext {
securityContextRepository = DelegatingSecurityContextRepository(
RequestAttributeSecurityContextRepository(),
HttpSessionSecurityContextRepository()
)
}
}
return http.build()
}<http security-context-repository-ref="contextRepository">
<!-- ... -->
</http>
<bean name="contextRepository"
class="org.springframework.security.web.context.DelegatingSecurityContextRepository">
<constructor-arg>
<bean class="org.springframework.security.web.context.RequestAttributeSecurityContextRepository" />
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository" />
</constructor-arg>
</bean>|
如果您已经在使用 以外的实现,则应将其替换为您在上面的示例中选择的实现,以确保它与 一起使用。 |
|
如果您已经在使用 以外的实现,则应将其替换为您在上面的示例中选择的实现,以确保它与 一起使用。 |
地址弃用SecurityContextRepository
在 Spring Security 5.7 中,SecurityContextRepository 中添加了一个新方法,其签名为:
Supplier<SecurityContext> loadContext(HttpServletRequest request)
随着 Spring Security 5.8 中 DelegatingSecurityContextRepository 的添加,该方法已被弃用,取而代之的是带有签名的新方法:
DeferredSecurityContext loadDeferredContext(HttpServletRequest request)
在 Spring Security 6 中,删除了已弃用的方法。
如果您已经实现了自己并添加了该方法的实现,则可以通过删除该方法的实现并改为实现新方法来准备 Spring Security 6。SecurityContextRepositoryloadContext(request)
若要开始实现新方法,请使用以下示例提供:DeferredSecurityContext
DeferredSecurityContext-
Java
-
Kotlin
@Override
public DeferredSecurityContext loadDeferredContext(HttpServletRequest request) {
return new DeferredSecurityContext() {
private SecurityContext securityContext;
private boolean isGenerated;
@Override
public SecurityContext get() {
if (this.securityContext == null) {
this.securityContext = getContextOrNull(request);
if (this.securityContext == null) {
SecurityContextHolderStrategy strategy = SecurityContextHolder.getContextHolderStrategy();
this.securityContext = strategy.createEmptyContext();
this.isGenerated = true;
}
}
return this.securityContext;
}
@Override
public boolean isGenerated() {
get();
return this.isGenerated;
}
};
}override fun loadDeferredContext(request: HttpServletRequest): DeferredSecurityContext {
return object : DeferredSecurityContext {
private var securityContext: SecurityContext? = null
private var isGenerated = false
override fun get(): SecurityContext {
if (securityContext == null) {
securityContext = getContextOrNull(request)
?: SecurityContextHolder.getContextHolderStrategy().createEmptyContext()
.also { isGenerated = true }
}
return securityContext!!
}
override fun isGenerated(): Boolean {
get()
return isGenerated
}
}
}优化查询RequestCache
在 Spring Security 5 中,默认行为是查询每个请求的已保存请求。
这意味着在典型的设置中,为了使用 RequestCache,对每个请求进行查询。HttpSession
在 Spring Security 6 中,默认设置是只有在定义了 HTTP 参数的情况下才会查询缓存的请求。
这使得 Spring Security 可以避免不必要地读取带有 .RequestCachecontinueHttpSessionRequestCache
在 Spring Security 5 中,默认是使用 which 将在每个请求上查询缓存的请求。
如果您没有覆盖默认值(即使用 ),则可以使用以下配置来显式选择加入 Spring Security 5.8 中的 Spring Security 6 行为:HttpSessionRequestCacheNullRequestCache
RequestCache仅检查已保存的请求(如果参数存在)continue-
Java
-
Kotlin
-
XML
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
requestCache.setMatchingRequestParameterName("continue");
http
// ...
.requestCache((cache) -> cache
.requestCache(requestCache)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
val httpRequestCache = HttpSessionRequestCache()
httpRequestCache.setMatchingRequestParameterName("continue")
http {
requestCache {
requestCache = httpRequestCache
}
}
return http.build()
}<http auto-config="true">
<!-- ... -->
<request-cache ref="requestCache"/>
</http>
<b:bean id="requestCache" class="org.springframework.security.web.savedrequest.HttpSessionRequestCache"
p:matchingRequestParameterName="continue"/>需要显式调用 SessionAuthenticationStrategy
在 Spring Security 5 中,默认配置依赖于检测用户是否刚刚进行身份验证并调用 .
这样做的问题在于,这意味着在典型的设置中,必须为每个请求读取 。SessionManagementFilterSessionAuthenticationStrategyHttpSession
在 Spring Security 6 中,默认情况下身份验证机制本身必须调用 .
这意味着无需检测何时完成,因此不需要为每个请求读取SessionAuthenticationStrategyAuthenticationHttpSession
要选择加入新的 Spring Security 6 默认值,可以使用以下配置。
SessionAuthenticationStrategy-
Java
-
Kotlin
-
XML
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
http
// ...
.sessionManagement((sessions) -> sessions
.requireExplicitAuthenticationStrategy(true)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
requireExplicitAuthenticationStrategy = true
}
}
return http.build()
}<http>
<!-- ... -->
<session-management authentication-strategy-explicit-invocation="true"/>
</http>如果这会破坏您的应用程序,则可以使用以下配置显式选择加入 5.8 默认值:
SessionAuthenticationStrategy-
Java
-
Kotlin
-
XML
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
http
// ...
.sessionManagement((sessions) -> sessions
.requireExplicitAuthenticationStrategy(false)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
sessionManagement {
requireExplicitAuthenticationStrategy = false
}
}
return http.build()
}<http>
<!-- ... -->
<session-management authentication-strategy-explicit-invocation="false"/>
</http>