我们高兴地宣布 Spring Security 4.0.0.RC1 的发布。此版本解决了40 个工单。您可以在下面找到更改的重点。

• 更新的默认值 - 随着安全的不断发展，Spring Security 也在不断发展。我们借此机会确保默认设置更加安全。例如，XML 名称空间支持现在默认启用 CSRF 保护。
• 完善 WebSocket 安全性 - 我们从社区收到了非常宝贵的反馈，这使我们能够完善 WebSocket 安全性。我们还添加了对 WebSocket 安全性的 XML 名称空间配置支持。详细信息可以在更新博客预览 Spring Security WebSocket 支持中找到。
• 最低依赖版本 - 最低依赖版本已提升。例如，Spring Security 现在需要 Spring 4.1.x。
• 移除弃用功能 - 虽然这可能不是每个人的最爱，但清理不必要的代码是必要的。这使得代码库更容易理解和维护。
• 文档格式 - 当我们更新到使用 asciidoctor 时，PDF 和 HTML 多页输出已被移除。我们再次提供HTML 单页、HTML 多页、EPub 和PDF 输出。
• 简化的配置 - 通过利用 Spring 4.x 的新功能，Spring Security 的最小配置已得到大幅简化。例如，下面可以看到保护 Web 应用程序的最小配置。

@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

请尝试更新并提供反馈。我们目前的计划是在 1 月份发布正式版。

Spring Security | JIRA | 参考文档