领先一步
VMware 提供培训和认证,助您加速进步。
了解更多Spring Security 5.1.0.M2 发布
我谨代表社区,很高兴地宣布 Spring Security 5.1.0.M2 发布。此版本关闭了 100 多个 ticket。
一如既往,我们期待听到您的反馈!您可以在下方找到要点
OAuth2
OAuth2 资源服务器
已添加对 OAuth2 资源服务器的基本支持。请参见 oauth2resourceserver
授权码流
用户现在可以使用 OAuth 2.0 授权码授予来获取访问令牌。请参见 authcodegrant 示例。
WebClient 和 OAuth2 支持
现在内置了对 OAuth2 和 WebClient 的支持。该支持允许
-
将访问令牌添加到请求中
-
在访问令牌过期时自动刷新
-
解析要使用的访问令牌
例如,在Servlet环境中,您可以这样配置一个Bean:
@Bean
WebClient webClient(OAuth2AuthorizedClientRepository repository) {
ServletOAuth2AuthorizedClientExchangeFilterFunction filter =
new ServletOAuth2AuthorizedClientExchangeFilterFunction(repository);
return WebClient.builder()
.filter(new OAuth2AuthorizedClientExchangeFilterFunction())
.apply(filter.oauth2Configuration())
.build();
}
现在您可以通过多种不同的方式添加OAuth令牌。如果需要,您可以使用Spring MVC支持来解析OAuth2AuthorizedClient。如果授权服务器返回了刷新令牌,并且访问令牌即将过期,Spring Security将透明地更新访问令牌,并提交更新后的访问令牌。
@GetMapping("/users")
Mono<String> users(@RegisteredOAuth2AuthorizedClient("client-id")
OAuth2AuthorizedClient authorizedClient) {
return this.webClient.get()
.uri("https://api.example.com/user")
.attributes(oauth2AuthorizedClient(authorizedClient))
.retrieve()
.bodyToMono(String.class);
}
您也可以通过WebClient解析访问令牌。例如:
Mono<String> users() {
return this.webClient.get()
.uri("https://api.example.com/user")
.attributes(clientRegistrationId("client-id"))
.retrieve()
.bodyToMono(String.class);
}
如果您使用OAuth2登录或OIDC进行身份验证,则可以自动应用默认的访问令牌,无需用户交互。
Mono<String> users() {
// if Authenticated with OIDC
// OAuth2 Log In use the access token associated to log in
return this.webClient.get()
.uri("https://api.example.com/user")
.retrieve()
.bodyToMono(String.class);
}
WebFlux OAuth2 登录支持 OIDC
WebFlux应用程序现在可以同时使用OAuth2和OIDC进行身份验证。请参阅oauth2login-webflux示例。
支持从 OIDC Discovery 创建 ClientRegistration
以前,希望与 OIDC 提供商集成的用户需要配置所有端点。例如,在 Spring Boot 中是这样的:
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
provider:
okta:
authorization-uri: https://foo.oktapreview.com/oauth2/v1/authorize
token-uri: https://foo.oktapreview.com/oauth2/v1/token
user-info-uri: https://foo.oktapreview.com/oauth2/v1/userinfo
user-name-attribute: sub
jwk-set-uri: https://foo.oktapreview.com/oauth2/v1/keys
现在,用户只需配置 issuer uri。例如:
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
provider:
okta:
issuer-uri: https://foo.oktapreview.com/oauth2/default/
支持自定义授权请求
通过添加OAuth2AuthorizationRequestResolver来支持自定义授权请求。例如,如果用户想要在请求中添加/删除范围,现在可以轻松做到。
单个 ClientRegistration 现在登录时重定向
当使用单个提供程序配置 OAuth2 / OIDC 登录时,默认行为已从显示单个提供程序更改为立即重定向到该提供程序。
配置改进
现代化默认登录页面
默认登录页面已现代化为 HTML5,以使其在视觉上更具吸引力。
默认登出页面
由于添加了 CSRF 登出保护,默认应用程序没有登出方式。现在,如果正在使用默认登录页面(即未配置登录页面),则还有一个默认登出页面,其中包含一个登出表单。
简化 RequestCache 配置
用户现在可以通过将其公开为@Bean来配置默认使用的 RequestCache。HttpSessionRequestCache已更新,不再要求值为DefaultRequestCache。
加强您的应用程序
跨站跟踪和 HTTP 方法篡改防护
Spring Security 5.1 添加了跨站跟踪和HTTP 方法篡改防护。
密码编码升级
用户可以实现UserDetailsPasswordService并将其公开为@Bean,在身份验证成功后,Spring Security 的DaoAuthenticationProvider将执行以下操作:
-
使用新的 PasswordEncoder.upgradeEncoding 方法检查密码存储机制是否需要更新。例如,如果密码是用 sha256 编码的,则默认情况下 Spring Security 会建议将其升级到 BCrypt。
-
如果需要升级密码编码,它将使用当前的
PasswordEncoder对密码进行编码。 -
UserDetails和新密码将被传递给UserDetailsPasswordService,以便使用升级后的密码编码进行保存。
依赖更新
我们已将依赖项更新到最新版本,以确保我们的传递性依赖项是最新的。