2. Spring Security 5.1 的新增功能

Spring Security 5.1 提供了许多新功能。以下是该版本的重点内容。

2.1 Servlet

• 通过UserDetailsPasswordService自动升级密码存储

• OAuth 2.0Client 端

• 可自定义的授权和令牌请求

  • authorization_code授予支持

  • client_credentials授予支持

• OAuth 2.0 资源服务器-支持JWT 编码的承载令牌

• 添加了 OAuth2 WebClient集成

• HTTP Firewall防止 HTTP 动词篡改和跨站点跟踪

• ExceptionTranslationFilter支持通过RequestMatcher选择AccessDeniedHandler

• CSRF支持排除某些请求

• 添加了对Feature Policy的支持

• 添加了@Transient个身份验证令牌

• 默认登录页面的现代外观

2.2 WebFlux

• 通过ReactiveUserDetailsPasswordService自动升级密码存储

• 添加了OAuth2支持

• 添加了OAuth2 Client支持

  • 添加了OAuth2 资源服务器支持

  • 添加了 OAuth2 WebClient集成

• @WithUserDetails now works和ReactiveUserDetailsService

• 添加了CORS支持

• 添加了对以下HTTP headers的支持

• 内容安全 Policy

  • Feature Policy

  • Referrer Policy

• 重定向到 HTTPS

• @AuthenticationPrincipal的改进

• 支持解决 bean

  • 支持解决errorOnInvalidType

2.3 Integrations

• Jackson Support与BadCredentialsException一起使用

• @WithMockUser supports自定义在测试中设置SecurityContext的时间。例如，@WithMockUser(setupBefore = TestExecutionEvent.TEST_EXECUTION)将在 JUnit 的@Before之后且测试执行之前设置用户。

• LDAP Authentication可以配置自定义环境变量

• X.509 Authentication支持将委托人作为策略