我们很高兴地宣布 Spring Security 4.0.0.RC1 的发布。本次发布解决了 40 个 ticket。您可以在下面找到更改的亮点。

• 更新的默认设置 - 随着安全性的不断发展，Spring Security 也在不断进步。我们借此机会确保默认设置更加安全。例如，XML 命名空间支持现在默认启用 CSRF 保护。
• 完善 WebSocket 安全 - 我们收到了来自社区非常有价值的反馈，这使我们能够完善 WebSocket 安全。我们还为 WebSocket 安全添加了 XML 命名空间配置支持。有关详细信息，请参阅更新博客 Preview Spring Security WebSocket Support。
• 最低依赖版本 - 最低依赖版本已提高。例如，Spring Security 现在需要 Spring 4.1.x。
• 移除已弃用的功能 - 虽然这可能不是每个人都喜欢的功能，但有必要清理不必要的代码。这使得代码库更易于理解和维护。
• 文档格式 - 当我们更新为使用 asciidoctor 时，移除了 PDF 和 HTML 多页输出。我们再次提供 HTML 单页、HTML 多页、EPub 和 PDF 输出。
• 简化配置 - 通过利用 Spring 4.x 的新功能，Spring Security 的最小配置已得到极大简化。例如，下面可以看到保护 Web 应用程序的最小配置。

@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

请试用更新并提供反馈。我们目前的计划是在一月份发布 GA 版本。

Spring Security | JIRA | 参考