Spring Security 6 功能详解及与老版本差异对比

于 2025-06-14 00:06:08 发布
阅读量611 收藏 11
点赞数 5
分类专栏: # Security 文章标签: spring java 后端 Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_tom_168/article/details/148632579
版权

Spring Security 6 功能详解及与老版本差异对比

一、Spring Security 6 核心功能革新

  1. 现代化配置方式

    • Lambda DSL 配置:摒弃传统链式调用,采用基于Lambda表达式的领域特定语言(DSL)。例如:

      @Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
        )
        .formLogin(withDefaults());
    return http.build();
}

      这种配置方式更直观,支持类型安全的路径匹配(如requestMatchers(HttpMethod.POST, "/api/**"))。

    • 组件化配置:移除WebSecurityConfigurerAdapter,推荐通过SecurityFilterChain Bean定义安全规则,实现配置与代码解耦。

  2. OAuth 2.1 & OpenID Connect 1.0 深度集成

    • 授权服务器模块:内置spring-security-oauth2-authorization-server模块,支持OAuth 2.1规范,提供令牌生成、验证及刷新令牌功能。
    • OpenID Connect 增强:通过openid作用域支持用户身份验证和信息获取,简化单点登录(SSO)实现。

  3. 无密码认证创新

    • 魔法链接登录(Magic Link):用户通过邮件接收包含一次性令牌的链接,点击后完成认证,无需输入密码。
    • 一次性令牌(One-Time Token):采用128位随机数生成,支持Redis/数据库存储,有效期5-15分钟,提升安全性。

  4. 安全上下文与会话管理优化

    • 身份验证令牌更新:强化SecurityContextHolder管理,支持无状态会话(Stateless)配置。
    • 默认安全配置:默认启用CSRF防护、CORS支持及HTTPS强制跳转,减少手动配置。

  5. 响应式编程支持

    • 与Spring WebFlux深度集成,提供ServerHttpSecurity配置接口,支持非阻塞I/O下的安全控制。
二、Spring Security 6 vs 5.x 核心差异
特性维度Spring Security 5.xSpring Security 6.x
配置方式继承WebSecurityConfigurerAdapter通过SecurityFilterChain Bean组件化配置
路径匹配antMatchers()(Ant风格通配符)requestMatchers()(支持正则、HTTP方法)
OAuth2支持需引入spring-security-oauth2内置授权服务器模块,支持OAuth 2.1
无密码认证不支持魔法链接、一次性令牌
默认安全策略需手动启用CSRF/CORS默认启用,并提供更严格的配置
JDK要求JDK 8+JDK 17+(与Spring Boot 3.x兼容)
过滤器链分散在多个包中统一移动至org.springframework.security.web
三、升级指南与最佳实践

  1. 依赖调整

    • 升级Spring Boot至3.x版本,确保兼容性:
      <parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>3.3.4</version>
</parent>

  2. 配置迁移

    • WebSecurityConfigurerAdapter替换为SecurityFilterChain
      // 5.x 配置
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated();
    }
}

// 6.x 配置
@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth.anyRequest().authenticated());
        return http.build();
    }
}

  3. 新功能适配

    • 魔法链接登录
      http.oneTimeTokenLogin(oneTime -> oneTime
    .tokenRepository(new InMemoryOneTimeTokenRepository())
    .tokenValidityDuration(Duration.ofMinutes(5))
);
    • OAuth2授权服务器:参考官方文档搭建授权服务,配置客户端、作用域及令牌端点。

  4. 安全加固

    • 启用HTTPS强制跳转:
      http.requiresChannel(channel -> channel.anyRequest().requiresSecure());
    • 配置CORS策略:
      http.cors(cors -> cors.configurationSource(request -> {
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowedOrigins(List.of("https://trusted-domain.com"));
    return config;
}));
四、总结

Spring Security 6通过配置现代化、协议升级、无密码认证三大核心改进,重新定义了企业级应用安全标准。其组件化配置和Lambda DSL显著提升了开发效率,而OAuth 2.1与OpenID Connect的集成则简化了微服务架构下的身份管理。对于升级用户,需重点关注JDK版本兼容性、配置方式迁移及新功能适配,以充分利用Spring Security 6带来的安全与便捷。

Spring Security 认证流程分析及多方式登录认证实践
07-22 1208
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
Spring Security架构中过滤器的实现
静水深流
05-29 912
Spring Security过滤器机制详解:从基础到自定义实现。文章系统梳理了过滤器链工作原理,包括Jakarta EE规范变更后的接口路径调整。重点解析了内置过滤器(如BasicAuthenticationFilter、CsrfFilter)的功能配置方式,以及通过order值控制执行顺序的机制。最后详细演示了自定义过滤器的开发过程,展示如何实现请求头校验等安全逻辑。全文涵盖过滤器链的动态特性、典型配置模式及深度定制方法,为构建灵活的安全方案提供实践指导。
SpringBoot安全框架对决:SpringSecurityShiro深度对比
梵心白莲的博客
05-11 684
在现代Web应用开发中,安全性是至关重要的一环。Spring Boot作为流行的Java开发框架,为开发者提供了便捷的开发体验。而在Spring Boot应用中,选择合适的安全框架来保障应用的安全显得尤为关键。Spring Security和Apache Shiro是两个广泛使用的安全框架,它们都能为应用提供认证和授权功能,但在很多方面存在差异。本文将对这两个框架进行深度对比,帮助技术人员在实际项目中做出更合适的选择。
Spring Security 详解实操第一节 认证体系密码安全
fegus的博客
05-01 790
开篇词 Spring Security,为你的应用安全职业之路保驾护航 你好,我是鉴湘,拉勾教育专栏《Spring Cloud 原理实战》《Spring Boot 实战开发》《Spring 响应式编程实战》《ShardingSphere 核心原理精讲》的作者。 我拥有 10 年以上大型 Java EE 和分布式系统构建及优化经验,曾带领 100+ 人团队完成了基于 Spring 家族技术体系的亿级用户应用系统建设,对基于 Spring 框架进行系统开发和维护有着丰富的实践经验。 在从业生涯中,我带过不
新旧版本SpringSecurity使用对比
上善若泪
05-31 2920
文章目录1 SpringSecurity新旧版本使用1.1 基本使用1.1.1 升级版本1.1.2 旧用法1.1.3 新用法1.2 高级使用1.2.1 基于方法的动态权限1.2.2 基于路径的动态权限1.3 效果测试 1 SpringSecurity新旧版本使用 前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了,今天带大家体验下Spring Security的最新用法
Spring Security 之密码存储
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
10-11 1129
Spring Security的接口用于执行密码的单向转换,以便可以安全的存储密码。通常用于在认证时将用户提供的密码存储的密码的比较。
Spring Security的内置过滤器解析
qq_42690281的博客
12-16 1330
介绍Spring Security中的内置过滤器
spring security 认证流程分析
LCY133的博客
03-27 812
覆盖此接口以适配业务用户表结构。
2w+字,带你彻底搞懂 Spring Security 6.0 的实现原理
犬小哈
06-24 444
来源:juejin.cn/post/7260000714788896828???? 欢迎加入小哈的星球,你将获得:专属的项目实战 /1v1 提问/Java 学习路线 /学习打卡/每月赠书/社群讨论新项目:《从零手撸:仿小红书(微服务架构)》正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍;《...
Spring Security自定义权限实例详解实践
标题中提及的“springsecuritytest自定义权限成功实例”指向了一个具体的Spring Security实践案例,这表明该实例文件夹包含了一个实际应用了Spring Security框架并自定义了权限处理的测试项目。Spring Security是一...
SpringSecurity3入门教程:实战实例配置详解
7. **升级迁移**:如果读者之前使用过Spring Security 2.x版本,文章还会讨论3.x版本的差异和迁移注意事项,以帮助用户平稳过渡到新的版本。 通过这篇教程,新手和经验丰富的开发人员都能掌握Spring Security 3.x...
Spring Security 2配置详解:入门到精通
本文将深入探讨Spring Security的权限控制机制,特别是Spring Security 2版本Acegi 1.x时代的显著差异,以及如何从繁琐的配置转变为更为简洁的方式。首先,我们将回顾一个基础的开发环境搭建过程,包括目录结构的...
Spring Security 3实现用户登录切换机制详解
Spring SecuritySpring框架下的一个模块,它提供了一个全面的安全...在阅读相关博文或文档时,应当注意代码示例当前所使用的Spring Security版本的兼容性。因为随着Spring框架的不断更新,某些API可能会发生变化。
SpringCloud-sentinel集成到nacos
a_15715324986的博客
06-13 479
这是因为,流控规则是保存在内存中的,如果重启微服务,内存中的规则就消失了。前面我们学习sentinel熔断和降级时,如果服务器重启,那么配置的规则都会消失。大家记得命名空间是区分服务和properties配置的范围,一定要一一对应,比如dev、prod、test,都要保持跟项目启动配置一致。但是当我们重启下微服务,再次频繁刷新时,就会发现没有报错,说明规则失效了。如上创建配置,记得这是在dev下创建配置的,跟yml中的命名空间需要一致。如上图所示,重启服务后,规则还是生效的,这样就做到了持久化。
SpringBoot学习day1-SpringBoot的简介搭建
weixin_75111785的博客
06-11 992
Spring Boot是一个简化Spring应用开发的框架,基于"约定大于配置"思想,内置Tomcat服务器,具有起步依赖和自动配置两大核心功能。文章介绍了Spring框架的优缺点,详细演示了如何搭建Spring Boot项目(以新闻系统为例),包括POM配置、启动类创建和控制器编写。还讲解了Spring Boot的两种配置文件格式(.properties和.yml),以及如何集成JDBC、MySQL和Druid数据源。通过Spring Boot可以快速构建独立运行的企业级应用,简化传统
SpringBoot快速开发实践
weixin_41800760的博客
06-13 826
而对于HTTP传输二进制流的相关细节,其实没有我想象中的那么复杂,以前学习POP3和SMTP(这两个都是邮件传输协议)的时候,知道他们都只能传输ASCII文本,如果要在邮件中加入附件,如一张图片(图片文件就是二进制文件)那就得先对图片文件转码,即将邮件协议不能传输的二进制数据流转换成可被邮件协议传输的ASCII数据流,其中用的最多的转换就是BASE64编码转换。作者大学学习的是计算机通信,现在的编程体系已经从原始的Socket编程,框架升级之后,基本上找不到Socket的影子。形成一个整体的概念。
搭建一个springColud 项目,从头开始,里面有订单,库存两个模块
qq_42857358的博客
06-10 1092
下面我将带你从零开始搭建一个完整的 Spring Cloud 项目,包含订单(order)和库存(stock)两个模块,使用 Nacos 作为注册中心和配置中心。
Java安全框架——SpringSecurity
2301_77523019的博客
06-13 1046
SpringSecurity是专为Spring应用设计的安全框架,提供身份验证、授权、攻击防护等功能。文章从核心功能、快速上手到登录认证流程进行了系统介绍,重点讲解了如何集成JWT实现安全认证。通过自定义过滤器链和认证提供者,实现了基于数据库的用户验证和Token校验机制。配置示例包括Redis连接、JWT工具类和Security核心配置,最终构建了完整的无状态安全认证体系,适合单体应用和微服务架构的安全需求。
Spring Bean
最新发布
weixin_43833540的博客
06-13 181
Spring Bean 是由 Spring IoC 容器管理的对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值