Spring Security 5迁移到Spring Security 6说明文档

最新推荐文章于 2026-06-15 11:23:53 发布
原创 最新推荐文章于 2026-06-15 11:23:53 发布 · 861 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring #java #数据库

Spring Security 5 迁移到 Spring Security 6/Spring Boot 3 说明文档

  1. 概述
    Spring Security 6 带来了几个重大变化,包括类的移除、废弃方法的移除以及新方法的引入。

从 Spring Security 5 迁移到 Spring Security 6 可以逐步进行,而不会破坏现有的代码库。此外,我们还可以使用第三方插件(如 OpenRewrite)来促进迁移到最新版本。

在本教程中,我们将学习如何将使用 Spring Security 5 的现有应用程序迁移到 Spring Security 6。我们将替换已废弃的方法并使用 lambda DSL 来简化配置。此外,我们还将利用 OpenRewrite 来加速迁移过程。

  1. Spring Security 和 Spring Boot 版本对应关系
    Spring Boot 基于 Spring 框架,Spring Boot 版本使用最新版本的 Spring 框架。Spring Boot 2 默认使用 Spring Security 5,而 Spring Boot 3 使用 Spring Security 6。

要在 Spring Boot 应用程序中使用 Spring Security,我们通常会在 pom.xml 中添加 spring-boot-starter-security 依赖。

然而,我们可以通过在 pom.xml 的 properties 部分指定所需版本来覆盖默认的 Spring Security 版本:

<properties>
    <spring-security.version>5.8.9</spring-security.version>
</properties>

在这里,我们指定在项目中使用 Spring Security 5.8.9,覆盖默认版本。

值得注意的是,我们也可以在 Spring Boot 2 中通过在 properties 部分覆盖默认版本来使用 Spring Security 6。

  1. Spring Security 6 的新特性
    Spring Security 6 引入了一些功能更新来提高安全性和健壮性。现在它至少需要 Java 17 版本并使用 jakarta 命名空间。

其中一个重大变化是移除了 WebSecurityConfigurerAdapter,转而采用基于组件的安全配置。

此外,移除了 authorizeRequests() 并用 authorizeHttpRequests() 来定义授权规则。

此外,它引入了诸如 requestMatcher() 和 securityMatcher() 等方法来替换 antMatcher() 和 mvcMatcher(),用于为请求资源配置安全策略。requestMatcher() 方法更加安全,因为它为请求配置选择适当的 RequestMatcher 实现。

其他废弃的方法如 cors() 和 csrf() 现在有了函数式风格的替代方案。

  1. 项目设置
    首先,让我们通过在 pom.xml 中添加 spring-boot-starter-web 和 spring-boot-starter-security 来引导一个 Spring Boot 2.7.5 项目:
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.7.5</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.7.5</version>
</dependency>

spring-boot-starter-security 依赖使用 Spring Security 5。

接下来,让我们创建一个名为 WebSecurityConfig 的类:

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

在这里,我们用 @EnableWebSecurity 注解类来启动为 Web 请求配置安全的过程。此外,我们启用方法级授权。接下来,该类继承 WebSecurityConfigurerAdapter 类来提供各种安全配置方法。

此外,让我们定义一个内存用户进行身份验证:

@Override
void configure(AuthenticationManagerBuilder auth) throws Exception {
    UserDetails user = User.withDefaultPasswordEncoder()
      .username("Admin")
      .password("password")
      .roles("ADMIN")
      .build();
    auth.inMemoryAuthentication().withUser(user);
}

在上面的方法中,我们通过覆盖默认配置来创建一个内存用户。

接下来,让我们通过覆盖 configure(WebSecurity web) 方法来排除静态资源的安全控制:

@Override
void configure(WebSecurity web) {
    web.ignoring().antMatchers("/js/**", "/css/**");
}

最后,让我们通过覆盖 configure(HttpSecurity http) 方法来创建 HttpSecurity:

@Override
void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
      .antMatchers("/").permitAll()
      .anyRequest().authenticated()
      .and()
      .formLogin()
      .and()
      .httpBasic();
}

值得注意的是,这个设置展示了典型的 Spring Security 5 配置。在接下来的部分中,我们将把这段代码迁移到 Spring Security 6。

  1. 迁移项目到 Spring Security 6
    Spring 建议采用增量迁移方法来防止更新到 Spring Security 6 时破坏现有代码。在升级到 Spring Security 6 之前,我们可以先将 Spring Boot 应用程序升级到 Spring Security 5.8.5 并更新代码以使用新功能。迁移到 5.8.5 为我们准备了版本 6 中的预期变化。

在增量迁移过程中,我们的 IDE 可以警告我们已废弃的功能。这有助于增量更新过程。

为了简单起见,让我们直接将示例项目迁移到 Spring Security 6,通过将应用程序更新为使用 Spring Boot 版本 3.3.2。在应用程序使用 Spring Boot 版本 2 的情况下,我们可以在 properties 部分指定 Spring Security 6。

开始迁移过程,让我们修改 pom.xml 以使用最新的 Spring Boot 版本:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>3.3.2</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>3.3.2</version>
</dependency>

在初始设置中,我们使用 Spring Boot 2.7.5,它在底层使用 Spring Security 5。

值得注意的是,Spring Boot 3 的最低 Java 版本是 Java 17。

在后续的小节中,我们将重构现有代码以使用 Spring Security 6。

5.1. @Configuration 注解
在 Spring Security 6 之前,@Configuration 注解是 @EnableWebSecurity 的一部分,但通过最新更新,我们必须用 @Configuration 注解来注解我们的安全配置:

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

在这里,我们将 @Configuration 注解引入到现有代码库中,因为它不再属于 @EnableWebSecurity 注解的一部分。此外,该注解不再是 @EnableMethodSecurity、@EnableWebFluxSecurity 或 @EnableGlobalMethodSecurity 注解的一部分。

此外,@EnableGlobalMethodSecurity 被标记为废弃,将被 @EnableMethodSecurity 取代。默认情况下,它启用 Spring 的 pre-post 注解。因此,我们引入 @EnableMethodSecurity 来提供方法级别的授权

5.2. WebSecurityConfigurerAdapter
最新更新移除了 WebSecurityConfigurerAdapter 类并采用基于组件的配置:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
}

在这里,我们移除了 WebSecurityConfigurerAdapter,这消除了覆盖安全配置的方法。相反,我们可以注册一个安全配置的 bean。我们可以注册 WebSecurityCustomizer bean 来配置 Web 安全,SecurityFilterChain bean 来配置 HTTP 安全,InMemoryUserDetails bean 来注册自定义用户等等。

5.3. WebSecurityCustomizer Bean
让我们通过发布一个 WebSecurityCustomizer bean 来修改排除静态资源的方法:

@Bean
WebSecurityCustomizer webSecurityCustomizer() {
   return (web) -> web.ignoring().requestMatchers("/js/**", "/css/**");
}

WebSecurityCustomizer 接口替换了来自 WebSecurityConfigurerAdapter 接口的 configure(Websecurity web) 方法。

5.4. AuthenticationManager Bean
在前面的小节中,我们通过覆盖 WebSecurityConfigurerAdapter 的 configure(AuthenticationManagerBuilder auth) 创建了一个内存用户。

让我们通过注册 InMemoryUserDetailsManager bean 而不是重构身份验证凭据逻辑:

@Bean
InMemoryUserDetailsManager userDetailsService() {
    UserDetails user = User.withDefaultPasswordEncoder()
      .username("Admin")
      .password("admin")
      .roles("USER")
      .build();

    return new InMemoryUserDetailsManager(user);
}

在这里,我们定义了一个具有 USER 角色的内存用户来提供基于角色的授权。

5.5. HTTP 安全配置
在之前的 Spring Security 版本中,我们通过覆盖来自 WebSecurityConfigurer 类的 configure 方法来配置 HttpSecurity。由于它在最新版本中被移除,让我们注册 SecurityFilterChain bean 来进行 HTTP 安全配置:

@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
      .authorizeHttpRequests(
          request -> request
            .requestMatchers("/").permitAll()
            .anyRequest().authenticated()
      )
      .formLogin(Customizer.withDefaults())
      .httpBasic(Customizer.withDefaults());
   return http.build();
}

在上面的代码中,我们将 authorizeRequest() 方法替换为 authorizeHttpRequests()。新方法使用 AuthorizationManager API,简化了重用和定制。

此外,它通过延迟身份验证查找来提高性能。身份验证查找仅在请求需要授权时发生。

当我们没有定制规则时,我们使用 Customizer.withDefaults() 方法来使用默认配置。

此外,我们使用 requestMatchers() 而不是 antMatcher() 或 mvcMatcher() 来保护资源。

5.6. 请求缓存
请求缓存帮助保存用户请求,当用户需要身份验证时并在他们成功身份验证后重定向用户到请求。在 Spring Security 6 之前,RequestCache 检查每个传入请求以查看是否有任何保存的请求要重定向到。这在每个 RequestCache 上读取 HttpSession。

然而,在 Spring Security 6 中,请求缓存仅检查请求是否包含特殊参数名 “continue”。这提高了性能并防止不必要的 HttpSession 读取。

  1. 使用 OpenRewrite
    此外,我们可以使用 OpenRewrite 等第三方工具将现有的 Spring Boot 应用程序迁移到 Spring Boot 3。由于 Spring Boot 3 使用 Spring Security 6,它也将安全配置迁移到版本 6。

要使用 OpenRewrite,我们可以将插件添加到 pom.xml:

<plugin>
    <groupId>org.openrewrite.maven</groupId>
    <artifactId>rewrite-maven-plugin</artifactId>
    <version>5.23.1</version>
    <configuration>
        <activeRecipes>
            <recipe>org.openrewrite.java.spring.boot3.UpgradeSpringBoot_3_0</recipe>
        </activeRecipes>
    </configuration>
    <dependencies>
        <dependency>
            <groupId>org.openrewrite.recipe</groupId>
            <artifactId>rewrite-spring</artifactId>
            <version>5.5.0</version>
        </dependency>
    </dependencies>
</plugin>

在这里,我们通过 recipe 属性指定升级到 Spring Boot 版本 3。OpenRewrite 有很多配方可供选择来升级 Java 项目。

最后,让我们运行迁移命令:

mvn rewrite:run

上面的命令将项目迁移到 Spring Boot 3,包括安全配置。然而,OpenRewrite 目前不使用 lambda DSL 来进行迁移的安全配置。当然,这在未来版本中可能会改变。

  1. 结论
    在本文中,我们看到了将使用 Spring Security 5 的现有代码库迁移到 Spring Security 6 的分步指南,包括替换已废弃的类和方法。此外,我们还看到了如何使用第三方插件来自动化迁移过程。

支持本文的代码可在 GitHub 上找到。一旦您以 Baeldung Pro 会员身份登录,开始在项目上学习和编码。

公告 - 图标
我刚刚宣布了新的 Learn Spring Security 课程,包括专注于 Spring Security 中新 OAuth2 堆栈的完整材料:

查看课程

Spring 5.3→6.3升级指南[可运行源码]
11-22
本文详细解析了Spring Framework从5.3到6.3版本的全栈升级路径,涵盖核心技术演进、各版本核心能力对比(6.0现代化基石、6.1开发者体验、6.2编译时革命、6.3生产级强化)、云原生三要素(GraalVM原生镜像、Micrometer可观测性、声明式HTTP服务)、现代Java特性支持,并提供版本选型决策树(成本收益分析、渐进式迁移策略、ROI估算)及完整迁移操作手册(环境准备、依赖升级、代码改造、验证测试)。最后给出升级推荐场景(新微服务/云原生需求/Java17+)与暂缓升级场景(遗留系统/旧API依赖/Java17限制)。
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 1444
网络安全入门笔记(共327页),助你步入安全门槛
SecurityConfig最新版本配置,EnableGlobalMethodSecurity已被弃用无法继承WebSecurityConfigurerAdapter
lijingxiaov5的博客
01-19 806
SecurityConfig最新版本配置,EnableGlobalMethodSecurity已被弃用无法继承WebSecurityConfigurerAdapter
Spring Framework 的 spring-core Spring Security 兼容版本
lanwp5302的博客
05-21 1726
Spring Security 4.x 仍然兼容 Spring Framework 4.x,但 Spring Security 5.x 需要 Spring 5+。 Spring Security 的版本需要保持兼容性,尤其是在旧版本(如 Spring 4.x)中。Spring Framework 的。如果需要更精确的版本,建议查阅。
Spring Security介绍(一)
w_t_y_y的博客
01-10 1366
实现权限配置,登录验证成功后初始化org.springframework.security.core.userdetails.UserDetails,存储当前登录用户。默认(可缺省)登录接口:/login。一、Spring Security:通过继承。
spring security 5 oauth2认证服务器开发
asdfadafd的博客
04-22 1065
注:本文节选自 spring security 5.x 的介绍,原文包含介绍、技术选型、spring security 的使用、可以运行的oauth2认证demo工程,如何开发自己的脚手架等。原文地址 spring security 相关技术选型: 由于 spring security 使用广度不及 spring boot,且 spring 这两年废弃了许多项目,spring 的术语称呼都有一些改变。 网上看到的一些教程大多是过时的,2019年之前的文章、教程大都跟不上最新的潮流,2019的文章教程大部
Spring Security社区支持:官方文档阅读技巧
gitblog_00254的博客
09-13 899
你是否曾在Spring Security文档中迷失方向?面对复杂的认证流程授权机制,是否感到无从下手?本文将系统介绍官方文档的高效阅读方法,帮助你快速定位关键信息,解决实际开发中的安全难题。读完本文,你将掌握文档结构解析、版本匹配、高级搜索等核心技巧,让Spring Security学习不再困难。 ## 一、文档结构全景解析 Spring Security官方文档采用模块化架构,主要分为以下...
Spring Security6版本变化内容
程序员一博
08-05 5132
Spring Security已经更新到了6.x,通过本专栏记录以下Spring Security6学习过程,当然大家可参考Spring Security5专栏对比学习Spring Securityspring家族产品中的一个安全框架,核心功能包括用户认证(Authentication)用户授权(Authorization)两部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名密码。系统通过校验用户名密码来完成认证过程。
Spring Security 6.x升级实战:从配置迁移到组件化改造
opencv7vision的博客
02-05 500
本文详细解析了Spring Security 6.x版本升级的核心变化与实战指南,重点介绍了从传统配置迁移到组件化改造的全过程。通过对比新旧版本配置差异,展示如何利用@Bean定义SecurityFilterChain、简化认证管理以及实现多安全过滤链配置,帮助开发者高效完成版本升级并掌握现代Spring安全框架的最佳实践。
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 2427
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
记录一次springmvc项目spring5升级spring6走过的抗
qq_33191582的博客
11-30 2991
Controller层面的代码全面爆红,编译不通过,原因是HttpServletRequest原型来自于javax.servlet.http,升级到spring6以后,java.servlet被抛弃,继承者是jakarta.servlet,于是修改pom.xml文件,增加如下依赖,这个时候需要修改所以原先引用。3 第三个问题,解决完系统重代码的编译错误后,开始启动tomcat服务器,发现启动的过程中遇到的第一错误,多个spring-web片段,解决方法,在web.xml胡总增加。
Spring Security 6 学习-1
一根火柴博客
01-23 2209
Spring Security文档Spring Security中文文档Spring SecuritySpring 家族中的安全型开发框架,主要解决三大方面问题:认证(你是谁)、授权(你能干什么)、常见攻击保护(CSRF、HTTP安全响应头设置、Http防火墙)。它常用于 Spring Boot 及 Spring Cloud 框架中。
Spring-Security-5.7.11升级6.5.2
。。。。。。。
08-11 1033
Spring Security 5中,默认行为是使用自动保存到。//版本5.7.11//SecurityContextPersistenceFilter中核心代码try {//...finally {// 保存已被作废在Spring Security 6中,默认行为是只会从读取并将其填充到中。如果用户希望在请求之间保持不变,他们现在必须使用显式保存//版本6.5.2try {finally {// 没有保存。
Spring Framework 5.3 → 6.3全栈升级指南
你好,我是橙序员
04-19 2529
强制使用6.3+需要云原生特性:GraalVM原生镜像+可观测性使用Java 17+新特性:Records/Pattern Matching。
Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
热门推荐
江帅帅
06-06 3万+
Spring Security 5.7.1 最新配置细节,WebSecurityConfigurerAdapter 已废弃
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
yangjnsjbad的博客
06-09 5939
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了!新用法非常简单,无需再继承,只需直接声明配置类,再配置一
自己动手写一个spring之IOC_3
最新发布
wang0907的博客
06-15 638
本文来继续增加IOC部分的功能,增加基于@Autowired注解注入bean的功能。。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码绘春秋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值