buession-security

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

⭐ 新特性

• buession-security-crypto： 新增密码生成器
• buession-security-web： XSSFilter 支持 HTML 标签转义和删除

🔔 变化

• buession-security-mcrypt： 密码生成器逐步过渡至 buession-security-crypto
• buession-security-pac4j： 移除依赖 org.pac4j:spring-webmvc-pac4j

🐞 Bug 修复

• buession-security-shiro： 修复 RedisCache 中序列化、反序列化未对 null 进行判断的 BUG
• buession-security-web： 修复 Csrf 未 指定 mode 时，csrf 配置参数无效的问题

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.7.4

⭐ 新特性

• buession-security-captcha： GeetestClient 增加 v3、v4 版本判断方法
• buession-security-shiro： 增加判断是否具备所有权限 Tag HasAllPermissionsTag

🔔 变化

• buession-security-shiro： 依赖 javax.servlet.jsp-api 更换为 jakarta.servlet.jsp-api

🐞 Bug 修复

• buession-security-pac4j： 修复 webflux 模式下 PrincipalMethodArgumentResolver 继承了错误类的 BUG

漏洞修复

• owasp antisamy 修复 [CVE-2023-43643] 漏洞

⏪ 优化

• buession-security-captcha： 代码质量优化
• buession-security-pac4j： 代码质量优化

📔 文档

• buession-security-shiro： 完善注释

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.7.3

⭐ 新特性

• buession-security-shiro： 新增任意权限 jsp tag HasAnyPermissionsTag

🔔 变化

• buession-security-mcrypt： Base64 编码、解码使用 java 内置 API
• buession-security-pac4j： cas client 不再默认引用
• buession-security-web： 移除 org.bouncycastle 依赖

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.7.2

⭐ 新特性

• buession-security-crypto： 新增该模块，逐步替代 buession-security-mcrypt
• buession-security-mcrypt： 新增 SM3、SM4 加密
• buession-security-mcrypt： 新增 ShaPasswordGenerator、Sm3PasswordGenerator、Sm4PasswordGenerator 密码生成器

⏪ 优化

• 其它优化

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

2.2.0 (2022-03-10)

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.7.1

⭐ 新特性

• buession-security-web： 新增实验性 jackson HttpMessageConverter 支持 XSS 过滤

🔔 变化

• buession-security-captcha： AliYunCaptchaClient 构造函数参数 regionId 为 null 或空字符串时，不再抛出异常；而使用默认值

🐞 Bug 修复

• buession-security-core： 修复 SameSite LAX 值

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

🐞 Bug 修复

• buession-captcha： 修复极验 v3 版本生成签名错误的问题

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

🔔 变化

• buession-security-pac4j： ProfileUtils.toMap(CommonProfile profile) 从 CommonProfile 转换为 Map 由首先写入 CommonProfile.getAttributes() 的数据，再也入固有字段的数据转换为先写入固有字段的数据，再写入 CommonProfile.getAttributes() 的数据，该变化影响注解 @Principal 的转换结果
• buession-security-pac4j： 废弃注解 @Principal 的 id、realName 属性

🐞 Bug 修复

• buession-security-pac4j： 修复 JsonAjaxRequestResolver 返回值不是合法 JSON 字符的 BUG

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.7.0

⭐ 新特性

• buession-security-pac4j： 注解 @Principal 支持 webflux 环境
• buession-security-web： 新增 ReferrerPolicy 策略转换器 ReferrerPolicyConverter

🔔 变化

• buession-security-mcrypt： 废弃加密类中仅传递字符串形式的编码的构造函数
• buession-security-pac4j： 优化注解 @Principal HandlerMethodArgumentResolver，继承 spring 原生 HandlerMethodArgumentResolver 实现抽象类

🐞 Bug 修复

• buession-security-web： 修复 HttpSecurity 构建器 ReactiveHttpSecurityBuilder、ServletHttpSecurityBuilder 中 Boolean 类型未判断 null 的 BUG

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

🐞 Bug 修复

• buession-security-captcha： 修复极验 v4 版本签名加密错误的 BUG

🔨依赖升级

• 依赖库版本升级和安全漏洞修复
• owasp antisamy 版本升级至 1.6.8

🔔 变化

• buession-security-web： 安全配置类中所有基本类型，调整为包装类型

🐞 Bug 修复

• buession-security-web： 修复 ReactiveWebSecurityConfigurerAdapterConfiguration 无参数构造函数，为初始化 Configurer 的 BUG

漏洞修复

• owasp antisamy 修复 CVE-2022-29577、CVE-2022-28367、CVE-2021-35043、CVE-2022-23437、CVE-2021-29425、CVE-2022-29546 漏洞

2.0.0 (2022-07-07)

🔨依赖升级

• 依赖库版本升级和安全漏洞修复

⭐ 新特性

• bbuession-security-captcha： 新增极验 V4 版本支持，阿里云、腾讯云行为验证码
• buession-security-mcrypt： 新增 HMAC、AES、DES 算法加密
• buession-security-shiro： 新增 SameSite 转换为 Shiro Cookie.SameSiteOptions 的转换器 SameSiteToShiroSameSiteOptionsConverter
• buession-security-web： 新增浏览器安全配置以及浏览器安全 Http Security 构建器和自动配置类

🔔 变化

• buession-security-pac4j： 移除 com.buession.security.pac4j.annotation.ProfileUtils，使用 com.buession.security.pac4j.profile.ProfileUtils 替代
• buession-security-pac4j： Pac4jWebMvcConfigurerAdapter 增加 OnServletCondition 条件控制
• buession-security-pac4j： 废弃实现 pac4j 和 cas、shiro 的集成，使用 io.buji:buji-pac4j 集成
• buession-security-shiro： 移除 com.buession.security.shiro.cache.DefaultRedisManager，使用 com.buession.security.shiro.DefaultRedisManager 替代
• buession-security-shiro： 移除 com.buession.security.shiro.cache.RedisManager，使用 com.buession.security.shiro.RedisManager 替代
• buession-security-shiro： interface 废弃 SessionDAO ，直接实现 shiro SessionDAO
• buession-security-shiro： interface 废弃 Cache ，直接实现 shiro Cache
• buession-security-shiro： interface 废弃 CacheManager ，直接实现 shiro CacheManager
• buession-security-shiro： 优化 Session 管理
• buession-security-spring： 移除 Csrf Token 生成器，直接使用 spring security csrf token 生成器

🐞 Bug 修复

• buession-security-shiro： 修复获取激活状态 Session BUG

1. 【新增】velocity ShiroPermission 验证方法
2. 【优化】velocity ShiroPermission 验证效率
3. 依赖库版本升级和安全漏洞修复

1. 【升级】升级相关组建版本
2. 【优化】优化 Geetest 内部 API
3. 【变化】Pac4jPrincipal.equals 由浅比较改为深度比较
4. 【修复】从 SessionDao 中读取 session 为 null 时，保存到 MemorySessionDAO 空指针异常
5. 【修复】恢复 1.2.2 版本误删常量类 Constants
6. 【修复】ProfileUtils.getProfileFromPac4jPrincipal 当 Pac4jPrincipal 为 null 时，空指针异常
7. 【变化】移除静态方法上的 final 关键字
8. 【优化】其它细节优化

1、【新增】WebSessionManager 支持从 request 中获取，减少从 sessionDAO 中获取的频率
2、【新增】 增加 springmvc RequestMapping 方法中对注解 @Principal 的支持
3、【新增】shiro RedisCache 和 RedisSessionDAO 支持指定 keySerializer 和 valueSerializ
4、【优化】修复规范disCache 缓存 key 构
5、【优化】优化 pac4j Principal 和 ProfileUtils 相关
6、【优化】代码优化以及日志优化
7、【优化】删除 PrincipalConvert ThreadLocal 缓存，避免 OOM

1、【升级】升级相关组建版本
2、【其它】代码兼容性处理

1、【新增】新增注解 @com.buession.security.pac4j.annotation.Principal 支持方法参数中获取当前登录用户信息
2、【新增】Csrf Token Repository 生成器
3、【新增】artifactId com.buession.security::buession-security-web
4、【新增】Servlet 的 XssFilter
5、【新增】图形验证码
6、【优化】代码及其算法优化
7、【fixbug】修复 AbstractPrincipalConvert 无返回值

1、优化 GeetestClient 返回结果，由原来返回的 map 改为 pojo 类
2、优化 buession-security-mcrypt 中部分类方法字符串拼接，由原来的 + 拼接方式，改为效率更高的 StringBuilder
3、将 shiro 中的依赖，定义到 com.buession:parent 中
4、Shiro Cookie 增加 httpOnly、SameSite 属性
5、其它代码优化

1、新增 csrf LazyCsrfTokenRepository
2、优化、升级部分依赖包
3、解决序列化重构后异常问题
4、重构、优化 pac4j 功能
5、重构、优化 shiro 功能

1、优化依赖
2、优化 geetest 代码结构和代码
3、修复 Geetest BUG
3、新增数据脱敏工具类
4、优化 ShiroPermission
5、新增 shiro 常量