我们很高兴地宣布 Spring Security 4.0.0.RC1 的发布。此版本解决了40 个问题。您可以在下面找到更改的重点。

• 更新的默认值 - 随着安全的发展，Spring Security 也在发展。我们借此机会确保默认值更加安全。例如，XML 命名空间支持现在默认启用 CSRF 保护。
• 完善 WebSocket 安全 - 我们收到了社区非常有价值的反馈，这使我们能够完善 WebSocket 安全。我们还为 WebSocket 安全添加了 XML 命名空间配置支持。详细信息可以在更新博客 预览 Spring Security WebSocket 支持 中找到
• 最低依赖版本 - 最低依赖版本已提升。例如，Spring Security 现在需要 Spring 4.1.x。
• 删除弃用 - 虽然这可能不是每个人都喜欢的功能，但清理不必要的代码是必要的。这使得代码库更容易理解和维护。
• 文档格式 - 当我们更新为使用 asciidoctor 时，PDF 和 HTML 多页输出被删除。我们再次提供 HTML 单页、HTML 多页、EPub 和 PDF 输出。
• 简化配置 - 通过利用 Spring 4.x 的新特性，Spring Security 的最小配置已得到大幅简化。例如，可以在下面看到保护 Web 应用程序的最小配置

@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

请尝试更新并提供反馈。我们目前的计划是在 1 月份发布 GA。

Spring Security | JIRA | 参考