Pivotal正式发布Spring Security 5.0.0，是2015年3月发布4.0.0版本以来的第一个大版本。

\\

Spring Security诞生于2004年，当时叫作Acegi，现在由Pivotal工程师Robert Winch领导开发，Robert是Spring Security和Spring Security 3.1的合著者。5.0.0版本包含了400多项改进和问题修复，包括支持OAuth 2.0、支持Spring WebFlux、可以使用Reactor的StepVerifier进行测试。

\\

InfoQ就Spring Security 5.0.0版本的发布和未来计划问题采访了Robert Winch。

\\

InfoQ：新版本的更新站点看起来很稳定。你能概括一下这一版本的内容吗？

\\

Winch：Spring Security 5.0.0的主要亮点在于它只需要最小化的JDK 8、反应式安全特性、OAuth 2.0（OIDC）和现代密码存储。

\\

InfoQ：你们是怎么想到现代密码存储这个主意的？又是如何实现的？

\\

Winch：在Spring Security 5.0.0之前，密码是明文保存，十分不安全。因为这一次发布的是大版本，所以我们决定使用更安全的密码存储方式。 我们有幸与密码存储专家John Steven合作，他是OWASP密码存储手册的主要作者。Spring Security现在默认提供的是最新的密码存储方式。当然，我们也可以使用其他方式来存储密码。

\\

InfoQ：Spring让我印象深刻的地方在于，它总是能够急我们之所急，为我们提供我们缺失的功能。你们是如何决定推出哪些特性的？

\\

Winch：我们关注社区进展，为呼声较高的问题制定解决方案。结果就是要使用最小化的JDK 8，并通过Reactor项目来支持反应式编程。

\\

InfoQ：你们打算加快Spring Security的发布速度吗？就像Juergen Hoeller所说的那样，在更短的时间周期内交付已经准备好的特性？

\\

Winch：是的。Spring Security尝试跟上Spring框架的脚步，确保为Spring框架提供安全保护。

\\

InfoQ：下一个版本的计划是什么？

\\

Winch：下一版本，我们计划把精力集中在完善反应式和OAuth上面。我们也会提供一些工具用于迁移现有的密码。我们也希望能够发布初始版本的OAuth资源服务器。

\\

现在让我们来看看增强的方法级别的安全（示例来自Spring Security网站）。

\\

可以使用@EnableGlobalMethodSecurity来启用基于注解的安全，只要这个类也使用了@Configuration。例如：

\\

\@Configuration\@EnableGlobalMethodSecurity(securedEnabled = true)\public class MethodSecurityConfig {\// ...\}

\\

然后就可以实现方法级别的安全：

\\

\public interface BankService {\\@Secured(\"IS_AUTHENTICATED_ANONYMOUSLY\")\public Account readAccount(Long id);\\@Secured(\"IS_AUTHENTICATED_ANONYMOUSLY\")\public Account[] findAccounts();\\@Secured(\"ROLE_TELLER\")\public Account post(Account account, double amount);\}

\\

有时候可能需要比GlobalMethodSecurity更灵活的方式，那么可以通过扩展GlobalMethodSecurityConfiguration来实现自定义安全策略，并在这个类上面加上@EnableGlobalMethodSecurity：

\\

\@EnableGlobalMethodSecurity(prePostEnabled = true)\public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {\\t@Override\\tprotected MethodSecurityExpressionHandler createExpressionHandler() {\\t\t// ... create and return custom MethodSecurityExpressionHandler ...\\t\treturn expressionHandler;\\t}\}

\\

Reactor项目的反应式流有一个特性，它支持将等待中的线程分配给新的任务作业，这就给实现ThreadLocal类型映射带来了新的挑战。Reactor为此提供了Context API，它是一种反应式的ThreadLocal map。

\\

在5.0.0版本里，可以通过ReactiveSecurityContextHolder.getContext()方法访问反应式Context，并在方法调用过程中使用token（以及其他应用程序相关数据）。

\\

查看英文原文：Spring Security 5.0.0 Released