Spring Security 5 → 6

Die größte Änderung ist die Entfernung von WebSecurityConfigurerAdapter. Konfiguration erfolgt nun vollständig über Beans und Lambda-DSL. Das macht Security expliziter und verständlicher.

Er war schwer verständlich und zu magisch. Viele Konfigurationen waren implizit. Die neue DSL zwingt zu klaren Entscheidungen.

Über eine SecurityFilterChain Bean. HTTP-Security wird mit Lambda-Ausdrücken konfiguriert. Jede Konfiguration ist explizit sichtbar.

Sie definiert, welche Filter für welche Requests gelten. Mehrere FilterChains sind möglich. Reihenfolge ist entscheidend.

HttpSecurity nutzt jetzt ausschließlich Lambda-Syntax. Alte Methoden ohne Lambdas sind deprecated oder entfernt. Lesbarkeit wurde verbessert.

authorizeRequests wurde ersetzt. authorizeHttpRequests ist typsicherer. Matcher sind klarer definiert.

AntMatchers wurden entfernt. Stattdessen nutzt man RequestMatcher oder mvcMatchers. Das verhindert Fehlkonfigurationen.

Sie waren fehleranfällig und unklar. Neue Matcher sind expliziter. Sicherheit wird robuster.

CSRF ist weiterhin standardmäßig aktiv. Konfiguration erfolgt über Lambdas. API ist konsistenter.

OAuth2 ist stärker integriert. JWT-Konfiguration ist vereinfacht. Defaults sind sicherer.

JwtDecoder wird explizit konfiguriert. Claims-Mapping ist klarer. Weniger Magie, mehr Kontrolle.

@EnableGlobalMethodSecurity wurde ersetzt. Jetzt nutzt man @EnableMethodSecurity. Konfiguration ist einfacher.

@PreAuthorize und @PostAuthorize bleiben Standard. SpEL-Ausdrücke werden weiterhin genutzt. API ist stabil.

DelegatingPasswordEncoder bleibt Standard. Sichere Defaults werden erzwungen. Unsichere Encoder sind discouraged.

AuthenticationManager wird explizit als Bean definiert. Implizite Erstellung wurde entfernt. Kontrolle liegt beim Entwickler.

AuthenticationProvider bleibt zentral. Mehrere Provider sind möglich. Konfiguration ist klarer sichtbar.

Form Login ist weiterhin verfügbar. Konfiguration erfolgt über Lambda-DSL. Defaults sind sicher.

HTTP Basic ist weiterhin vorhanden. Aktivierung erfolgt explizit. Unsichere Defaults wurden reduziert.

CORS wird explizit als Bean definiert. Security nutzt diese Konfiguration. Globale und Security-CORS werden getrennt.

ExceptionHandling wird per Lambda konfiguriert. EntryPoints und AccessDeniedHandler sind explizit. Fehlerverhalten ist klar steuerbar.

Logout ist explizit konfigurierbar. URLs und Handler sind klar definiert. Single Logout wird unterstützt.

Session Management bleibt ähnlich. Defaults sind sicherer. Stateless APIs sind einfacher zu konfigurieren.

Stateless ist klarer konfigurierbar. Kombination mit JWT ist Standard. Session Creation Policy ist explizit.

Filter-Reihenfolge ist expliziter. addFilterBefore und addFilterAfter sind wichtig. Fehlkonfigurationen sind sichtbarer.

spring-security-test wurde angepasst. Neue DSLs werden unterstützt. Tests sind näher an Produktionskonfiguration.

Alle Imports sind jetzt jakarta.*. Alte javax.* Klassen sind inkompatibel. Migration ist zwingend.

Fehlende FilterChains. Alte Matcher. Nicht angepasste Imports.

Mehr Transparenz. Weniger Magie. Bessere Wartbarkeit.

Spring Security 6 von Anfang an nutzen. Keine Legacy-Patterns verwenden. Security bewusst designen.