对于最新的稳定版本,请使用 Spring Security 6.3.1! |
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
以下步骤与如何完成迁移会话管理支持有关。
需要显式保存 SecurityContextRepository
在 Spring Security 5 中,默认行为是使用 SecurityContextPersistenceFilter
自动将 SecurityContext
保存到 SecurityContextRepository
。
保存必须在提交之前和之前完成。
不幸的是,在请求完成之前(即在提交 之前)完成 的自动持久性可能会让用户感到惊讶。
跟踪状态以确定是否需要保存也很复杂,有时会导致对(即)进行不必要的写入。HttpServletResponse
SecurityContextPersistenceFilter
SecurityContext
HttpServletResponse
SecurityContextRepository
HttpSession
在 Spring Security 6 中,默认行为是 SecurityContextHolderFilter
只会从 中读取 并将其填充到 .
用户现在必须显式保存 with 如果他们希望在请求之间持续存在。
这消除了歧义,并通过仅在必要时写入(即)来提高性能。SecurityContext
SecurityContextRepository
SecurityContextHolder
SecurityContext
SecurityContextRepository
SecurityContext
SecurityContextRepository
HttpSession
清除上下文时(例如在注销期间)也需要保存上下文。请参阅此部分以了解更多信息。 |
如果您明确选择加入 Spring Security 6 的新默认值,则可以删除以下配置以接受 Spring Security 6 默认值。
-
Java
-
Kotlin
-
XML
public SecurityFilterChain filterChain(HttpSecurity http) {
http
// ...
.securityContext((securityContext) -> securityContext
.requireExplicitSave(true)
);
return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
http {
securityContext {
requireExplicitSave = true
}
}
return http.build()
}
<http security-context-explicit-save="true">
<!-- ... -->
</http>
使用配置时,重要的是,任何设置 with a 的代码都会将 保存到 if 它应该在请求之间持久化。SecurityContextHolder
SecurityContext
SecurityContext
SecurityContextRepository
例如,以下代码:
SecurityContextHolder
SecurityContextPersistenceFilter
-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
SecurityContextHolder.setContext(securityContext)
应替换为
SecurityContextHolder
SecurityContextHolderFilter
-
Java
-
Kotlin
SecurityContextHolder.setContext(securityContext);
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);
SecurityContextHolder.setContext(securityContext)
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse)
清除上下文时(例如在注销期间)也需要保存上下文。请参阅此部分以了解更多信息。 |
多个 SecurityContextRepository
在 Spring Security 5 中,默认的 SecurityContextRepository
是 。HttpSessionSecurityContextRepository
在 Spring Security 6 中,默认值为 。
如果仅为了更新到 6.0 而配置了 only,则可以将其完全删除。SecurityContextRepository
DelegatingSecurityContextRepository
SecurityContextRepository
优化查询RequestCache
在 Spring Security 5 中,默认行为是查询每个请求的已保存请求。
这意味着在典型的设置中,为了使用 RequestCache
,对每个请求进行查询。HttpSession
在 Spring Security 6 中,默认设置是只有在定义了 HTTP 参数的情况下才会查询缓存的请求。
这使得 Spring Security 可以避免不必要地读取带有 .RequestCache
continue
HttpSession
RequestCache
在 Spring Security 5 中,默认是使用 which 将在每个请求上查询缓存的请求。
如果您没有覆盖默认值(即使用 ),则可以使用以下配置来显式选择加入 Spring Security 5.8 中的 Spring Security 6 行为:HttpSessionRequestCache
NullRequestCache
RequestCache
仅检查已保存的请求(如果参数存在)continue
-
Java
-
Kotlin
-
XML
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
requestCache.setMatchingRequestParameterName("continue");
http
// ...
.requestCache((cache) -> cache
.requestCache(requestCache)
);
return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
val httpRequestCache = HttpSessionRequestCache()
httpRequestCache.setMatchingRequestParameterName("continue")
http {
requestCache {
requestCache = httpRequestCache
}
}
return http.build()
}
<http auto-config="true">
<!-- ... -->
<request-cache ref="requestCache"/>
</http>
<b:bean id="requestCache" class="org.springframework.security.web.savedrequest.HttpSessionRequestCache"
p:matchingRequestParameterName="continue"/>