Spring Security 4 新增特性

1.概述

a) 特性

以下是Spring Security 4.0的新特性

• Web Socket 支持
• 测试支持
• 整合Spring Data
• CSRF令牌参数解析
• 更安全的默认设置
• role权限不再必须使用ROLE_前缀，在之前的版本必须像下面这样在XML文件里进行配置：

<intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>

现在，我们可以选择省略掉ROLE_前缀。具体而言，无论ROLE_是否存在，表达式hasRole已经定义了一个作为role的值。我们可以像下面这样配置（效果和之前一样）：

<intercept-url pattern="/**" access="hasRole('USER')"/>

类似的，也可以像下面一样配置：

@PreAuthorize("hasRole('ROLE_USER')")

@PreAuthorize("hasRole('USER')")

• 添加了更多集成的Tests示例
• 不赞成使用 @EnableWebMvcSecurity。在更新后的最低Spring版本，我们仍然可以使用它，但同时也允许重写它。

b) 从3.x过渡到4.x

作为一个新版本，Spring Security团队做了主要的更新：

• 确保Spring Security在默认情况下更安全
• 尽可能减少信息泄露
• 移除过时的APIs

以下是更新的完整详情，或者在JIRA中查看变动：

• Migrating from Spring Security 3.x to 4.x (XML Configuration)
• Migrating from Spring Security 3.x to 4.x (Java Configuration)

2.XML配置的变化（Java注解的更新也差不多）

a)例子迁移

可以在github上查看

b)更新到Spring 4.1.x

Spring Security 4需要Spring 4。而Spring Security 3.2.x 可以在Spring 3.2.x and Spring 4上运作。

详细介绍参见

• Migrating to Spring Framework 4.0
• Migrating to Spring Framework 4.1

c)过时

以下列出了一些官方不再建议使用的配置，详情可以参考这里：

• Related Links
• spring-security-acl
• spring-security-cas
• spring-security-config
• spring-security-core
• spring-security-taglibs
• spring-security-web

d)更新Spring Security

Maven：

<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-bom</artifactId>
            <version>4.0.0.RELEASE</version>
            <type>pom</type>
            <scope>import</scope>
        </dependency>
    </dependencies>
</dependencyManagement>

不要忘记更新依赖

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>4.0.0.RELEASE</version>
</dependency>

e)默认命名空间的改变

详情参考这里：

• Related Links
• Migrate <http>
• Migrating <form-login>
• Migrating <logout>
• Migrating <openid-login>
• Migrating <headers>
• Migrating <csrf>
• Migrating <remember-me>
• Migrating <filter-security-metadata-source>

f)默认Filter URLs的改变

• Related Links
• CasAuthenticationFilter
• SwitchUserFilter
• LogoutFilter

详情可以参考这里：http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-xml.html#m3to4-filter-urls

g)配置头的改变

• Related Links
• Header Samples

详情可以参考这里：http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-xml.html#m3to4-header

h)自动的ROLE_前缀

• Related Links
• ROLE_ Prefixing Passivity
• Disable ROLE_ Prefixing

详情可以参考这里：http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-xml.html#m3to4-role-prefixing