此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Security 6.4.1！spring-doc.cn

Spring Security 6.0 中的新增功能

Spring Security 6.0 提供了许多新功能。以下是该版本的亮点。spring-doc.cn

基线更改

Spring Security 6 需要 JDK 17spring-doc.cn

重大更改

gh-8980 - 删除 unsafe/deprecated . 而是使用数据存储来加密值。Encryptors.querableText(CharSequence,CharSequence)spring-doc.cn
gh-11520 - 记住我默认使用 SHA256spring-doc.cn
gh-8819 - 将过滤器移动到 Web 包重新组织导入spring-doc.cn
gh-7349 - 将筛选器和令牌移动到适当的软件包重新组织导入spring-doc.cn
gh-11026 - 使用而不是RequestAttributeSecurityContextRepositoryNullSecurityContextRepositoryspring-doc.cn
gh-11827 - 更改的默认权限oauth2Login()spring-doc.cn
gh-10347 - 删除签入UsernamePasswordAuthenticationTokenBasicAuthenticationFilterspring-doc.cn
gh-11923 - 删除 . 相反，请创建一个SecurityFilterChain Bean。WebSecurityConfigurerAdapterspring-doc.cn
gh-11899 - 如果存在 Spring MVC，则默认使用。您可以使用 <http> 中的 request-matcher 属性配置不同的MvcRequestMatcherRequestMatcherspring-doc.cn
将 use-authorization-manager=“true” 更改为默认值如果应用程序分别使用或切换到或。如果 application 依赖于 implicit ，则这不再是 implicit，需要指定。或使用use-expressions="true"access-decision-manager-refuse-expressions="false"authorization-manager-ref<intercept-url pattern="/**" access="permitAll"/>use-authorization-manager="false"spring-doc.cn
gh-11939 - 从 Java 配置中删除已弃用的、、帮助程序方法。请改用或。antMatchersmvcMatchersregexMatchersrequestMatchersHttpSecurity#securityMatchersspring-doc.cn
gh-11985 - 删除、和中已弃用的构造函数。Argon2PasswordEncoderSCryptPasswordEncoderPbkdf2PasswordEncoderspring-doc.cn
gh-11960 - 默认为 servlet 和反应式 CSRF 保护spring-doc.cn
gh-12019 - 从setTokenFromMultipartDataEnabledCsrfWebFilterspring-doc.cn
gh-12020 - 从 Java 配置中删除已弃用的方法tokenFromMultipartDataEnabledspring-doc.cn
GH-9429 - 重新引发 'AuthenticationServiceException 的Authentication(Web)Filterspring-doc.cn
gh-11027、gh-11466 - 每个 Dispatcher 类型的授权spring-doc.cn
gh-11110 - 默认情况下需要显式会话保存spring-doc.cn
gh-11057 - 从MessageSourceAwareExceptionTranslationWebFilterspring-doc.cn
gh-12202 - 删除 OAuth 弃用spring-doc.cn
gh-10556 - 删除 EOL OpenSaml 3 支持。请改用 OpenSaml 4 支持。spring-doc.cn
gh-11077 - 删除 SAML 弃用spring-doc.cn
- 从和中删除构造函数ConverterSaml2MetadataFilterSaml2AuthenticationTokenConverterspring-doc.cn
- Remove 和 and 实现Saml2AuthenticationRequestContextResolverSaml2AuthenticationRequestFactoryspring-doc.cn
- 删除Saml2AuthenticationToken(String, String, String, String, List)spring-doc.cn
- Remove 和相关方法RelyingPartyRegistration.ProviderDetailsspring-doc.cn
- 删除OpenSamlAuthenticationProviderspring-doc.cn
gh-12180 - 注册所有 Dispatcher 类型FilterChainProxyspring-doc.cn

核心

gh-11446 - 添加对@PreAuthorizespring-doc.cn
gh-11737 - 添加对@PostAuthorizespring-doc.cn
、和的插桩AuthenticationManagerAuthorizationManagerFilterChainProxyspring-doc.cn
、和的插桩ReactiveAuthenticationManagerReactiveAuthorizationManagerWebFilterChainProxyspring-doc.cn

LDAP 协议

gh-9276 - 对 LdapAuthoritiesPopulator 进行后处理spring-doc.cn

Web

GH-11432 - 支持 MaxageCookieServerCsrfTokenRepositoryspring-doc.cn