简单几步升级Spring security4.x升级到5.x

最新推荐文章于 2024-02-23 14:32:40 发布
最新推荐文章于 2024-02-23 14:32:40 发布
阅读量8.4k 收藏 11
点赞数 7
文章标签: spring java spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ysola4/article/details/125066361
版权

本次升级源自一次安全漏洞提醒:

Spring Security 身份认证绕过漏洞 (CVE-2022-22978),现将漏洞相关详情下发,如系统使用了受影响版本软件,请参照处置建议及时完成处理。
【风险名称】
Spring Security 身份认证绕过漏洞 (CVE-2022-22978)
【风险等级】
高危
【风险验证】
受影响版本:
Spring Security 5.5.x < 5.5.7
Spring Security 5.6.x < 5.6.4
Spring Security 其他低版本同样受影响
安全版本:
Spring Security 5.5.x >= 5.5.7
Spring Security 5.6.x >= 5.6.4

项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.

本着能省则省的心理, 那就先单独升级一下spring-security吧.

<!--       <spring-security.version>4.1.0.RELEASE</spring-security.version>-->
      <spring-security.version>5.5.8</spring-security.version>

升级了版本, 重新 maven reimport项目, clean&compile试试.  

列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):

程序包org.springframework.security.authentication.encoding不存在

居然就一个Md5PasswordEncoder不存在错误. 修正后就编译打包通过了. 那就运行看看.

测试运行时如愿报错, 还比较不友好.

[WARNING] Failed startup of context o.e.j.m.p.JettyWebAppContext@296e281a{dxx-framework,/dxxframework,file:///D:/IdeaWorkSpace2022/dxx-framework-parent/dxx-framework/src/main/webapp/,UNAVAILABLE}{file:///D:/IdeaWorkSpace2022/dxx-framework-parent/dxx-framework/src/main/webapp/}
java.lang.NoSuchMethodError: org.springframework.util.Assert.state(ZLjava/util/function/Supplier;)V
    at org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer.registerFilter (AbstractSecurityWebApplicationInitializer.java:195)
    at org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer.insertSpringSecurityFilterChain (AbstractSecurityWebApplicationInitializer.java:140)
    at org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer.onStartup (AbstractSecurityWebApplicationInitializer.java:115)
    at org.springframework.web.SpringServletContainerInitializer.onStartup (SpringServletContainerInitializer.java:169)
    at org.eclipse.jetty.plus.annotation.ContainerInitializer.callStartup (ContainerInitializer.java:145)

org.springframework.util.Assert.state

 AbstractSecurityWebApplicationInitializer.registerFilter

AbstractSecurityWebApplicationInitializer.insertSpringSecurityFilterChain

看几个报错的源码接口和实现都有, 感觉还是jar包冲突(欢迎指正, 重新配置了一番spring-security后无果, 也不想调整4.x版本的源码再重新打包), 那就升级spring试试.

Spring-security5.5.8是依赖spring5.3.2的, 省事失败, 那就升级吧.

<!--       <spring.version>4.3.30.RELEASE</spring.version>-->
<spring.version>5.3.20</spring.version>

熟悉的编译报错继续铺面而来, 修复过程省略, 挑几个分享下:

com.dxx.config.web.PropertyEditorRegistrarImpl不是抽象的, 并且未覆盖org.springframework.web.bind.support.WebBindingInitializer中的抽象方法initBinder(org.springframework.web.bind.WebDataBinder)

无法将类 org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport中的方法 requestMappingHandlerMapping应用到给定类型;

旧代码:

   @Bean(name="requestMappingHandlerMapping")
public RequestMappingHandlerMapping requestMappingHandlerMapping() {
       logger.info("RequestMappingHandlerMapping");
   
   return super.requestMappingHandlerMapping();
}
新代码:
@Override
@Bean(name="requestMappingHandlerMapping")
@Primary
public RequestMappingHandlerMapping requestMappingHandlerMapping(
      @Qualifier("mvcContentNegotiationManager") ContentNegotiationManager contentNegotiationManager,
      @Qualifier("mvcConversionService") FormattingConversionService conversionService,
      @Qualifier("mvcResourceUrlProvider") ResourceUrlProvider resourceUrlProvider) {
   // Must be @Primary for MvcUriComponentsBuilder to work
   return super.requestMappingHandlerMapping(contentNegotiationManager, conversionService,
         resourceUrlProvider);
}

经过简(fan)单(za)的Spring5.x 适应性调整后, 项目又编译通过了,

[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  8.681 s
[INFO] Finished at: 2022-06-01T10:40:45+08:00
[INFO] ------------------------------------------------------------------------

感觉又可以了, 跑一下!

但是, 但是这个词又冒了出来..

10:42:51.071 [main] ERROR com.dxx.platform.security.support.EnvRecourceInitializer - 系统初始化资源角色菜单失败!Could not open Hibernate Session for transaction; nested exception is java.lang.NoSuchMethodError: org.hibernate.Session.unwrap(Ljava/lang/Class;)Ljava/lang/Object;
[INFO] Initializing Spring DispatcherServlet 'dispatcher'

看来是Hibernate的集成跟Spring版本有依赖关系, SSH的SS都升了..也不差最后一个H了.

Hibernate用着的是5.1版本, 倒没说有跟Spring有依赖.

估计是Spring的orm mapping接口依赖有要求, 翻了一下资料,没翻到, 无意中看了下源码. Spring 5.3兼容的是hiberante5.2/5.3/5.4.  JPA的话推荐使用5.3/5.4, 既然5.1报错, 那就直接升级到5.4的最新版本吧(找的方法不太对..耗费好多时间,隐藏太深,还不如先盲猜).

 

**
 * {@link FactoryBean} that creates a Hibernate {@link SessionFactory}. This is the usual
 * way to set up a shared Hibernate SessionFactory in a Spring application context; the
 * SessionFactory can then be passed to data access objects via dependency injection.
 *
 * <p>Compatible with Hibernate 5.2/5.3/5.4, as of Spring 5.3.
 * This Hibernate-specific {@code LocalSessionFactoryBean} can be an immediate alternative
 * to {@link org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean} for common
 * JPA purposes: In particular with Hibernate 5.3/5.4, the Hibernate {@code SessionFactory}
 * will natively expose the JPA {@code EntityManagerFactory} interface as well, and
 * Hibernate {@code BeanContainer} integration will be registered out of the box.
 * In combination with {@link HibernateTransactionManager}, this naturally allows for
 * mixing JPA access code with native Hibernate access code within the same transaction.
 *
 * @author Juergen Hoeller
 * @since 4.2
 * @see #setDataSource
 * @see #setPackagesToScan
 * @see HibernateTransactionManager
 * @see LocalSessionFactoryBuilder
 * @see org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean
 */
public class LocalSessionFactoryBean
升级Hibernate到最新能支持的版本.

<!--       <hibernate.version>5.1.0.Final</hibernate.version>-->
      <hibernate.version>5.4.33.Final</hibernate.version>

编译通过,测试运行一下,登录成功..CRUD成功.  喜闻乐见..

至此, 三大框架升级完毕...不对, 给Spring security升级一下版本这个小问题解决. 

it夜猫who
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
详解Spring3.x 升级Spring4.x的方法
08-27
本篇文章主要介绍了详解Spring3.x 升级Spring4.x的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security 4升级到5 注意的问题
shsongtao的博客
04-18 5485
升级spring security 4->5 发现一只报错,从开始的配置问题 到后来的解决方案 首先配置的问题大部分差不多 但是在升级的时候,原来的明文的 In-memory 模式会有一些问题 在spring security 5中,需要用密文对clientSecrect进行处理. 参考两篇博客: springCloud微服务系列——OAuth2+JWT——spring-security4升...
已解决org.springframework.web.HttpSessionRequiredException异常的正确解决方法,亲测有效!!!
最新发布
小明的Java问道之路
02-23 2609
已解决org.springframework.web.HttpSessionRequiredException异常的正确解决方法,亲测有效!!!
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
weixin_42907150的博客
01-26 867
Spring Security升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
spring4.0,spring5.0日志框架详解(包含部分源码解析)。
代码风的博客
04-17 923
现阶段的日志框架有哪些? log4j 直接记录日志 jcl jcl他不直接记录日志,他是通过第三方记录日志(jul),如果使用jcl来记录日志,在没有log4j的依赖情况下,是用jul如果有了log4j则使用log4j 。jcl=Jakarta commons-logging ,是apache公司开发的一个抽象日志通用框架,本身不实现日志记录,但是提供了记录日志的抽象方法即接口...
spring5 官方文档 中文版 带目录
01-08
spring5官方参考指南,中文版本,可以对照原版查看,英文不好同学的福音
Spring4 升级 spring5, Hibernate4 升级 Hibernate5 相关问题总结以及修改注意点
weixin_44131922的博客
11-11 2441
项目主体框架使用 spring4 以及 Hibernate4, 由于spring 升级到 5的大版本,附带的 Hibernate 也将被强迫升级
spring 升级5之后引发的问题
张伟光
04-08 2527
1.mvc发生了修改,之前比如后端是list 接口, 前端用list.json请求了,会抱404,这时候我们需要在mvc配置文件中加 <mvc:path-matching suffix-pattern="true"/> 意思是允许后缀匹配 2.升级后Log4jConfigListener不识别,需要把log4j升级log4j2, 解决方法 将log4j文件放到 resource目录下,官网给的解决办法,感谢组内大神帮忙解决 Apache log4j 1.2 - Short
spring4到spring5 AOP执行顺序的转变
b13001216978的博客
01-17 1377
前言:之前听尚硅谷周阳阳哥讲课,说是spring5的aop执行顺序和spring4不一样了,并且选用了springboot2.3.10版本测试,结果确实变化了。但是,本人亲自测试以后发现自己使用的springboot2.2.2顺序并没有发生变化,为了弄清楚原因,特意查了下资料和官网,经过代码测试最后得出结果如下: 从spring 5.2.7.RELEASE开始(包括5.2.7),spring aop的执行顺序发生了变化。 测试代码: public interface CommonService {
升级Spring Security版本
pany_2017的博客
08-29 1592
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
Spring版本都升级4-5了,你的日志体系还差一大截?
m0_68103666的博客
04-23 331
最近公司接手了一个二次开发项目,由于使用的是Spring 4 的日志体系和内容,由于4/5版本的日志,跨度稍微有点大,有很多同事对此表示迷茫。
Spring+4.x++企业应用开发实战
01-24
精通Spring 4.x 企业应用开发实战 PDF 仅用于个人学习使用,不可用于商业用途,如有版权问题,请联系删除!
spring4.x________
04-18
spring4.x
精通Spring4.x(包含源码)
01-08
精通Spring4.x企业应用开发实战(PDF、包含源码)核心讲解了IOC、AOP、Spring事务,Spring MVC 等,简单介绍了Spring boot、hibernate、mybatis等
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
spring cloud升级spring boot 2.x/Finchley.RELEASE遇到的坑
08-27
主要介绍了spring cloud升级spring boot 2.x/Finchley.RELEASE遇到的坑,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
精通Spring 4.x 企业应用开发实战高清带目录.pdf
04-08
精通Spring 4.x 企业应用开发实战 陈雄华 PDF,清晰而且有标签,目录,非常好,谢谢分享。精通Spring 4.x 企业应用开发实战 陈雄华 PDF,清晰而且有标签,目录,非常好,谢谢分享。
SpringSecurity升级
蓝影铁哥的博客
01-08 1175
SpringSecurity
springCloud微服务系列——OAuth2+JWT——spring-security4升级spring-security5
guduyishuai的博客
08-27 4539
目录 一、简介 二、问题 三、源码分析 四、解决方案 一、简介         spring boot2和spring cloud Finchley版本使用的是spring-security5,在升级的过程中OAuth2+JWT遇到一些问题,这里记录一下。环境如下:         spring boot 2.0.3         spring cloud Finchley  ...
Spring Security 5.x
04-01
Spring Security is a powerful and highly customizable authentication and access control framework for Java applications. It provides a wide range of features for securing web applications, including authentication, authorization, session management, and more. Spring Security 5.x is the latest version of the framework, released in 2017. It builds upon the previous versions of Spring Security and introduces several new features and improvements. One of the major changes in Spring Security 5.x is the support for reactive programming. This allows developers to build scalable and responsive web applications using non-blocking I/O. Spring Security 5.x also introduces support for OAuth 2.0 and OpenID Connect, which are widely used for securing APIs and web applications. Other new features in Spring Security 5.x include improved support for multi-factor authentication, support for Java 8 features such as lambdas and streams, and a simplified configuration model. The framework also provides better integration with other Spring projects such as Spring Boot and Spring Cloud. Overall, Spring Security 5.x is a powerful and flexible authentication and access control framework that can help developers build secure and scalable web applications with ease.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

it夜猫who

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值