Spring Security 4 新增特性
1.概述
a) 特性
以下是Spring Security 4.0的新特性
- Web Socket 支持
- 测试支持
- 整合Spring Data
- CSRF令牌参数解析
- 更安全的默认设置
- role权限不再必须使用ROLE_前缀,在之前的版本必须像下面这样在XML文件里进行配置:
<intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
现在,我们可以选择省略掉ROLE_前缀。具体而言,无论ROLE_是否存在,表达式hasRole已经定义了一个作为role的值。我们可以像下面这样配置(效果和之前一样):
<intercept-url pattern="/**" access="hasRole('USER')"/>
类似的,也可以像下面一样配置:
@PreAuthorize("hasRole('ROLE_USER')")
@PreAuthorize("hasRole('USER')")
- 添加了更多集成的Tests示例
- 不赞成使用 @EnableWebMvcSecurity 。在更新后的最低Spring版本,我们仍然可以使用它,但同时也允许重写它。
b) 从3.x过渡到4.x
作为一个新版本,Spring Security团队做了主要的更新:
以下是更新的完整详情,或者在JIRA中查看变动:
- Migrating from Spring Security 3.x to 4.x (XML Configuration)
- Migrating from Spring Security 3.x to 4.x (Java Configuration)
2.XML配置的变化(Java注解的更新也差不多)
a)例子迁移
可以在github上查看
b)更新到Spring 4.1.x
Spring Security 4需要Spring 4。而Spring Security 3.2.x 可以在Spring 3.2.x and Spring 4上运作。
详细介绍参见
c)过时
以下列出了一些官方不再建议使用的配置,详情可以参考这里:
- Related Links
- spring-security-acl
- spring-security-cas
- spring-security-config
- spring-security-core
- spring-security-taglibs
- spring-security-web
d)更新Spring Security
Maven:
<dependencyManagement> <dependencies> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-bom</artifactId> <version>4.0.0.RELEASE</version> <type>pom</type> <scope>import</scope> </dependency> </dependencies> </dependencyManagement>
不要忘记更新依赖
<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>4.0.0.RELEASE</version> </dependency>
e)默认命名空间的改变
详情参考这里:
- Related Links
- Migrate <http>
- Migrating <form-login>
- Migrating <logout>
- Migrating <openid-login>
- Migrating <headers>
- Migrating <csrf>
- Migrating <remember-me>
- Migrating <filter-security-metadata-source>
f)默认Filter URLs的改变
g)配置头的改变
h)自动的ROLE_前缀