|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
会话管理迁移
以下步骤与如何完成迁移会话管理支持相关。
需要显式保存 SecurityContextRepository
在 Spring Security 5 中,默认行为是使用SecurityContextPersistenceFilter将SecurityContext自动保存到SecurityContextRepository中。
必须在提交之前和之前完成保存。
遗憾的是,如果在请求完成之前(即在提交 之前)完成 的自动持久化,则可能会让用户感到惊讶。
跟踪状态以确定是否需要保存也很复杂,有时会导致对 (即 ) 进行不必要的写入。HttpServletResponseSecurityContextPersistenceFilterSecurityContextHttpServletResponseSecurityContextRepositoryHttpSession
在 Spring Security 6 中,默认行为是 SecurityContextHolderFilter 将仅读取 from 并将其填充到 .
如果用户希望 在请求之间持久保存,现在必须显式保存 。
这消除了歧义并提高了性能,因为只需要在必要时写入 (即 )。SecurityContextSecurityContextRepositorySecurityContextHolderSecurityContextSecurityContextRepositorySecurityContextSecurityContextRepositoryHttpSession
|
清除上下文时(例如在注销期间),也需要保存上下文。请参阅此部分以了解更多信息。 |
如果您明确选择使用 Spring Security 6 的新默认值,则可以删除以下配置以接受 Spring Security 6 默认值。
-
Java
-
Kotlin
-
XML
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.securityContext((securityContext) -> securityContext
.requireExplicitSave(true)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
securityContext {
requireExplicitSave = true
}
}
return http.build()
}<http security-context-explicit-save="true">
<!-- ... -->
</http>使用配置时,如果应在请求之间保留,则任何使用 a 设置 the 的代码也必须保存 to。SecurityContextHolderSecurityContextSecurityContextSecurityContextRepository
例如,以下代码:
SecurityContextHolderSecurityContextPersistenceFilter-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);SecurityContextHolder.setContext(securityContext)应替换为
SecurityContextHolderSecurityContextHolderFilter-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);SecurityContextHolder.setContext(securityContext)
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse)多个 SecurityContextRepository
在 Spring Security 5 中,默认的SecurityContextRepository是。HttpSessionSecurityContextRepository
在 Spring Security 6 中,默认值为 。
如果您仅出于更新到 6.0 的目的配置了 ,则可以将其完全删除。SecurityContextRepositoryDelegatingSecurityContextRepositorySecurityContextRepository
优化查询RequestCache
在 Spring Security 5 中,默认行为是在每个请求上查询保存的请求。
这意味着,在典型的设置中,为了使用 RequestCache ,在每个请求上都会查询 。HttpSession
在 Spring Security 6 中,默认值是,如果定义了 HTTP 参数,则只会查询缓存的请求。
这允许 Spring Security 避免不必要地读取 .RequestCachecontinueHttpSessionRequestCache
在 Spring Security 5 中,默认值是 use ,它将在每个请求中查询缓存的请求。
如果您不覆盖默认值(即 using ),则可以使用以下配置显式选择加入 Spring Security 5.8 中的 Spring Security 6 行为:HttpSessionRequestCacheNullRequestCache
RequestCache如果参数存在,则仅检查保存的请求continue-
Java
-
Kotlin
-
XML
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
requestCache.setMatchingRequestParameterName("continue");
http
// ...
.requestCache((cache) -> cache
.requestCache(requestCache)
);
return http.build();
}@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
val httpRequestCache = HttpSessionRequestCache()
httpRequestCache.setMatchingRequestParameterName("continue")
http {
requestCache {
requestCache = httpRequestCache
}
}
return http.build()
}<http auto-config="true">
<!-- ... -->
<request-cache ref="requestCache"/>
</http>
<b:bean id="requestCache" class="org.springframework.security.web.savedrequest.HttpSessionRequestCache"
p:matchingRequestParameterName="continue"/>