Spring Security 6.4 中的新增功能

Spring Security 6.4 提供了许多新功能。 以下是该版本的亮点,或者您可以查看发行说明,了解每项功能和错误修复的详细列表。spring-doc.cn

弃用通知

随着我们越来越接近 Spring Security 7,及时了解弃用信息非常重要。 因此,本节指出了 6.4 版本中的弃用。spring-doc.cn

  • 方法 Security - 已弃用,取而代之的是 。 这主要是为了允许返回类型成为接口而不是具体类。 如果要调用 ,请改为调用 。AuthorizationManager#checkAuthorizationManager#authorizeAuthorizationManager#checkAuthorizationManager#authorizespring-doc.cn

    与此相关,该方法已被弃用,取而代之的是采用接口的同名方法。AuthorizationEventPublisher#publishEventAuthorizationDecisionAuthorizationResultspring-doc.cn

  • 方法安全性 - 已弃用,取而代之的是更通用的,因为现在还支持 and 的元注释属性。 如果要构造 ,请将其更改为 .PrePostTemplateDefaultsAnnotationTemplateExpressionDefaults@AuthenticationPrincipal@CurrentSecurityContextPrePostTemplateDefaultsAnnotationTemplateExpressionDefaultsspring-doc.cn

  • OAuth 2.0 - 已弃用,以消除 Spring Security OAuth 2.0 Resource Server 对包的依赖。 如果您正在构造 ,请将其替换为 的构造函数NimbusOpaqueTokenIntrospectorSpringOpaqueTokenIntrospectoroidc-oauth2-sdkNimbusOpaqueTokenIntrospectorSpringOpaqueTokenIntrospectorspring-doc.cn

  • OAuth 2.0 - 、 、 、 、 和 已弃用,取而代之的是其等效版本。DefaultAuthorizationCodeTokenResponseClientDefaultClientCredentialsTokenResponseClientDefaultJwtBearerTokenResponseClientDefaultPasswordTokenResponseClientDefaultRefreshTokenTokenResponseClientDefaultTokenExchangeTokenResponseClientRestClientspring-doc.cn

    与此相关的,, , , , 已弃用,转而为上述令牌响应客户端之一提供 的实例JwtBearerGrantRequestEntityConverterOAuth2AuthorizationCodeGrantRequestEntityConverterOAuth2ClientCredentialsGrantRequestEntityConverterOAuth2PasswordGrantRequestEntityConverterOAuth2RefreshTokenGrantRequestEntityConverterDefaultOAuth2TokenRequestParametersConverterspring-doc.cn

    例如,如果您有以下安排:spring-doc.cn

    private static class MyCustomConverter
    extends AbstractOAuth2AuthorizationGrantRequestEntityConverter<OAuth2AuthorizationCodeGrantRequest> {
	@Override
    protected MultiValueMap<String, String> createParameters
            (OAuth2AuthorizationCodeGrantRequest request) {
		MultiValueMap<String, String> parameters = super.createParameters(request);
		parameters.add("custom", "value");
		return parameters;
    }
}

@Bean
OAuth2AccessTokenResponseClient authorizationCode() {
	DefaultAuthorizationCodeTokenResponseClient client =
        new DefaultAuthorizationCodeTokenResponseClient();
	Converter<AuthorizationCodeGrantRequest, RequestEntity<?>> entityConverter =
        new OAuth2AuthorizationCodeGrantRequestEntityConverter();
	entityConverter.setParametersConverter(new MyCustomConverter());
	client.setRequestEntityConverter(entityConverter);
    return client;
}

    此配置已弃用,因为它使用 和 。 现在建议的配置是:DefaultAuthorizationCodeTokenResponseClientOAuth2AuthorizationCodeGrantRequestEntityConverterspring-doc.cn

    private static class MyCustomConverter implements Converter<OAuth2AuthorizationCodeGrantRequest, Map<String, String>> {
	@Override
    public MultiValueMap<String, String> convert(OAuth2AuthorizeCodeGrantRequest request) {
		MultiValueMap<String, String> parameters = OAuth2AuthorizationCodeGrantRequest.defaultParameters(request);
		parameters.add("custom", "value");
		return parameters;
    }
}

@Bean
OAuth2AccessTokenResponseClient authorizationCode() {
	RestClientAuthorizationCodeTokenResponseClient client =
        new RestClientAuthorizationCodeTokenResponseClient();
	client.setParametersConverter(new MyCustomConverter());
    return client;
}

  • SAML 2.0 - Spring Security SAML 2.0 Service Provider 接口的未版本控制的 OpenSAML 实现已被弃用,取而代之的是版本控制的接口。 例如,现在替换为 和 。 如果您正在构建这些已弃用的版本之一,请将其替换为与您正在使用的 OpenSAML 版本相对应的版本。OpenSamlAuthenticationTokenConverterOpenSaml4AuthenticationTokenConverterOpenSaml5AuthenticationTokenConverterspring-doc.cn

  • SAML 2.0 - 周围的方法已弃用,取而代之的是使用此接口的等效方法。AssertingPartyDetailsAssertingPartyMetadataspring-doc.cn

  • LDAP - 为了与 Spring LDAP 的弃用保持一致,现在弃用了 的用法DistinguishedNamespring-doc.cn

一次性令牌登录

密钥

Spring Security 现在支持 Passkeysspring-doc.cn

方法安全性

OAuth 2.0 版本

  • oauth2Login()现在接受 OAuth2AuthorizationRequestResolver 作为@Beanspring-doc.cn

  • ClientRegistrations现在支持外部获取的配置spring-doc.cn

  • 添加到 reactive 中的 DSL 中loginPage()oauth2Login()spring-doc.cn

  • OIDC 反向通道支持现在接受 logout+jwt 类型的注销令牌spring-doc.cn

  • RestClient现在可以配置为发出受保护的资源请求OAuth2ClientHttpRequestInterceptorspring-doc.cn

  • 添加了 的基于 的实现,以便对访问令牌请求进行更一致的配置。RestClientOAuth2AccessTokenResponseClientspring-doc.cn

    要选择使用支持,只需为每个授权类型发布一个 bean,如下例所示:RestClientspring-doc.cn

    @Configuration
public class SecurityConfig {

	@Bean
	public OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> authorizationCodeAccessTokenResponseClient() {
		return new RestClientAuthorizationCodeTokenResponseClient();
	}

	@Bean
	public OAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> refreshTokenAccessTokenResponseClient() {
		return new RestClientRefreshTokenTokenResponseClient();
	}

	@Bean
	public OAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> clientCredentialsAccessTokenResponseClient() {
		return new RestClientClientCredentialsTokenResponseClient();
	}

	@Bean
	public OAuth2AccessTokenResponseClient<JwtBearerGrantRequest> jwtBearerAccessTokenResponseClient() {
		return new RestClientJwtBearerTokenResponseClient();
	}

	@Bean
	public OAuth2AccessTokenResponseClient<TokenExchangeGrantRequest> tokenExchangeAccessTokenResponseClient() {
		return new RestClientTokenExchangeTokenResponseClient();
	}

}
    @Configuration
class SecurityConfig {

	@Bean
	fun authorizationCodeAccessTokenResponseClient(): OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> {
		return RestClientAuthorizationCodeTokenResponseClient()
	}

	@Bean
	fun refreshTokenAccessTokenResponseClient(): OAuth2AccessTokenResponseClient<OAuth2RefreshTokenGrantRequest> {
		return RestClientRefreshTokenTokenResponseClient()
	}

	@Bean
	fun clientCredentialsAccessTokenResponseClient(): OAuth2AccessTokenResponseClient<OAuth2ClientCredentialsGrantRequest> {
		return RestClientClientCredentialsTokenResponseClient()
	}

	@Bean
	fun jwtBearerAccessTokenResponseClient(): OAuth2AccessTokenResponseClient<JwtBearerGrantRequest> {
		return RestClientJwtBearerTokenResponseClient()
	}

	@Bean
	fun tokenExchangeAccessTokenResponseClient(): OAuth2AccessTokenResponseClient<TokenExchangeGrantRequest> {
		return RestClientTokenExchangeTokenResponseClient()
	}

}

  • Token Exchange 现在支持刷新令牌spring-doc.cn

SAML 2.0 版本

  • 添加了 OpenSAML 5 支持。 现在,您可以使用 OpenSAML 4 或 OpenSAML 5;默认情况下,Spring Security 将根据 Classpath 上的内容选择写入实现。spring-doc.cn

  • 使用 EntityID 可以简化。registrationIdspring-doc.cn

    一种常见模式是通过 . 在以前的版本中,这需要直接配置 . 现在,请求解析程序除了在路径中查找 as 请求参数外,还会默认查找 as 请求参数。 这允许您使用或不需要修改值或自定义请求解析程序。entityIDOpenSamlAuthenticationRequestResolverregistrationIdRelyingPartyRegistrationsOpenSaml4/5AssertingPartyMetadataRepositoryregistrationIdspring-doc.cn

    与此相关,您现在可以将 your 配置为包含 query 参数authenticationRequestUrispring-doc.cn

  • 现在,可以根据元数据的到期时间在后台刷新断言方。spring-doc.cn

    例如,您现在可以使用 OpenSaml5AssertingPartyMetadataRepository 来执行以下操作:spring-doc.cn

    @Component
public class RefreshableRelyingPartyRegistrationRepository implements IterableRelyingPartyRegistrationRepository {
	private final AssertingPartyMetadataRepository assertingParties = OpenSaml5AssertingPartyMetadataRepository
		.fromTrustedMetadataLocation("https://idp.example.org").build();

	@Override
	public RelyingPartyRegistration findByRegistrationId(String registrationId) {
		AssertingPartyMetadata assertingParty = this.assertingParties.findByEntityId(registrationId);
		return RelyingPartyRegistration.withAssertingPartyMetadata(assertingParty)
			// relying party configurations
			.build();
	}

	// ...
}
    @Component
open class RefreshableRelyingPartyRegistrationRepository: IterableRelyingPartyRegistrationRepository {
	private val assertingParties: AssertingPartyMetadataRepository = OpenSaml5AssertingPartyMetadataRepository
		.fromTrustedMetadataLocation("https://idp.example.org").build()

	override fun findByRegistrationId(String registrationId): RelyingPartyRegistration {
		val assertingParty = this.assertingParties.findByEntityId(registrationId)
		return RelyingPartyRegistration.withAssertingPartyMetadata(assertingParty)
			// relying party configurations
			.build()
	}

	// ...
}

    此实现还支持元数据签名的验证。spring-doc.cn

  • 您现在可以对信赖方元数据进行签名spring-doc.cn

  • RelyingPartyRegistrationRepository现在可以缓存结果。 如果要将注册值的加载推迟到应用程序启动后,这将非常有用。 如果您想控制何时通过 Spring Cache 刷新元数据,这也很有用。spring-doc.cn

  • 为了与 SAML 2.0 标准保持一致,元数据端点现在使用 application/samlmetadata+xml MIME 类型spring-doc.cn

Web

  • CSRF BREACH 令牌现在更加一致spring-doc.cn

  • 现在,“记住我”Cookie 的可自定义性更spring-doc.cn

  • Security Filter Chain 发现更多无效配置。 例如,在 any-request 过滤器链之后声明的过滤器链是无效的,因为它永远不会被调用:spring-doc.cn

    @Bean
@Order(0)
SecurityFilterChain api(HttpSecurity http) throws Exception {
    http
        // implicit securityMatcher("/**")
        .authorizeHttpRequests(...)
        .httpBasic(...)

    return http.build();
}

@Bean
@Order(1)
SecurityFilterChain app(HttpSecurity http) throws Exception {
    http
        .securityMatcher("/app/**")
        .authorizeHttpRequests(...)
        .formLogin(...)

    return http.build();
}
    @Bean
@Order(0)
fun api(val http: HttpSecurity): SecurityFilterChain {
    http {
		authorizeHttpRequests {
			// ...
		}
	}
    return http.build()
}

@Bean
@Order(1)
fun app(val http: HttpSecurity): SecurityFilterChain {
    http {
		securityMatcher("/app/**")
		authorizeHttpRequests {
			// ...
		}
	}
    return http.build()
}

    您可以在 相关票证 中阅读更多内容。spring-doc.cn

  • ServerHttpSecurity现在选择 ServerWebExchangeFirewall 作为@Beanspring-doc.cn

可观察性

可观测性现在支持分别切换授权、身份验证和请求观察例如,要关闭筛选链观察,您可以发布如下所示的观察:@Beanspring-doc.cn

@Bean
SecurityObservationSettings allSpringSecurityObservations() {
	return SecurityObservationSettings.withDefaults()
            .shouldObserveFilterChains(false).build();
}
@Bean
fun allSpringSecurityObservations(): SecurityObservationSettings {
    return SecurityObservationSettings.builder()
            .shouldObserveFilterChains(false).build()
}

Kotlin

阿克尔