oauth2-shiro v2.0.0版本正式发布,在距上一次发布7年后,更新了大版本,对安全漏洞等问题进行大升级。
该版本主要更新内容:
- 升级使用springboot,调整工程结构,打包由war换成jar,使用thymeleaf替换servlet/jsp;spring大版本升级到5.3提升安全性。
- JDK由1.7升级到1.8,日志框架使用logback替换log4j(处理掉log4j安全漏洞)。
- 升级shiro版本到v1.11.0,解决相应的shiro版本漏洞。
- 密码存储算法由MD5替换为SHA-256,并支持盐(salt),让密码存储更安全可靠(通过配置参数authz.store.credentials.alg来控制与向下兼容)。
- OAuth token支持使用JWT格式(通过配置参数authz.token.generator.type来控制与向下兼容)。
- 对初始的账户密码与client secret使用更加安全的密码策略:包括大小写字母,数字与特殊符号,长度至少10位。
v2.0.0版本链接:https://gitee.com/mkk/oauth2-shiro/tree/2.0.0/。
【推荐升级】