Spring Security 5.1.0.M2 發(fā)布，Spring 安全框架

2018-08-01 來源：oschina

Spring Security 5.1.0.M2 已發(fā)布，該版本關(guān)閉了超過 100 個 issue。下面說說值得關(guān)注的更新：

OAuth2

OAuth2 Resource Server

添加了對 OAuth2 資源服務(wù)器的基本支持。見 oauth2resourceserver

Authorization Code Flow

用戶現(xiàn)在可以使用OAuth 2.0 Authorization Code grant 獲取訪問令牌(access token)。請查看 authcodegrant 示例。

支持 WebClient 和 OAuth2

現(xiàn)在內(nèi)置了對 OAuth2 和 WebClient 的支持，該支持將允許：

將訪問令牌添加到請求中
訪問令牌過期時自動刷新
解析要使用的訪問令牌

例如，在 servlet 環(huán)境中，你可以配置一個如下所示的 Bean：

@Bean
WebClient webClient(OAuth2AuthorizedClientRepository repository) {
    ServletOAuth2AuthorizedClientExchangeFilterFunction filter =
        new ServletOAuth2AuthorizedClientExchangeFilterFunction(repository);
    return WebClient.builder()
        .filter(new OAuth2AuthorizedClientExchangeFilterFunction())
        .apply(filter.oauth2Configuration())
        .build();
 }

現(xiàn)在，你可以通過多種不同方式添加 OAuth 令牌。如果需要，可以使用 Spring MVC 支持來解析 OAuth2AuthorizedClient。如果授權(quán)服務(wù)器返回已刷新的令牌并且訪問令牌即將過期，則 Spring Security 將透明地更新訪問令牌并提交已更新的訪問令牌。

@GetMapping("/users")
Mono<String> users(@RegisteredOAuth2AuthorizedClient("client-id")
        OAuth2AuthorizedClient authorizedClient) {
    return this.webClient.get()
        .uri("https://api.example.com/user")
        .attributes(oauth2AuthorizedClient(authorizedClient))
        .retrieve()
        .bodyToMono(String.class);
}

你可以通過 WebClient 來解析訪問令牌，例如

Mono<String> users() {
    return this.webClient.get()
        .uri("https://api.example.com/user")
        .attributes(clientRegistrationId("client-id"))
        .retrieve()
        .bodyToMono(String.class);
}

如果使用 OAuth2 Log In 或 OIDC 進行身份驗證，則可以應(yīng)用默認的訪問令牌而無需用戶交互。

Mono<String> users() {
    // if Authenticated with OIDC
    // OAuth2 Log In use the access token associated to log in
    return this.webClient.get()
        .uri("https://api.example.com/user")
        .retrieve()
        .bodyToMono(String.class);
}

WebFlux OAuth2 Log In Supports OIDC

WebFlux 應(yīng)用程序現(xiàn)在可以使用 OAuth2 和 OIDC 進行身份驗證。有關(guān)詳細示例，請查看 oauth2login-webflux。

配置改進

改進默認登錄頁面，更現(xiàn)代化

默認登錄頁面實用了 HTML5，變得更現(xiàn)代化，看起來更具視覺吸引力。

默認注銷頁面

由于添加了 CSRF 注銷保護，因此默認應(yīng)用程序無法注銷�，F(xiàn)在，如果正在使用默認登錄頁面（例如沒有配置登錄頁面），那么還會有一個默認的注銷頁面，它顯示了一個注銷表單。

簡化 RequestCache 配置

用戶現(xiàn)在可以配置默認的 RequestCache，用于將其暴露給@Bean。

本次更新內(nèi)容較多，詳情請查看發(fā)布說明。
源碼下載 >>> https://github.com/spring-projects/spring-security/releases/tag/5.1.0.M2

標(biāo)簽： idc isp 服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。