oauth2-shiro 2.0.0版本发布,安全大升级

oauth2-shiro v2.0.0版本正式发布,在距上一次发布7年后,更新了大版本,对安全漏洞等问题进行大升级。

该版本主要更新内容:

  1. 升级使用springboot,调整工程结构,打包由war换成jar,使用thymeleaf替换servlet/jsp;spring大版本升级到5.3提升安全性。
  2. JDK由1.7升级到1.8,日志框架使用logback替换log4j(处理掉log4j安全漏洞)。
  3. 升级shiro版本到v1.11.0,解决相应的shiro版本漏洞。
  4. 密码存储算法由MD5替换为SHA-256,并支持盐(salt),让密码存储更安全可靠(通过配置参数authz.store.credentials.alg来控制与向下兼容)。
  5. OAuth token支持使用JWT格式(通过配置参数authz.token.generator.type来控制与向下兼容)。
  6. 对初始的账户密码与client secret使用更加安全的密码策略:包括大小写字母,数字与特殊符号,长度至少10位。

v2.0.0版本链接:https://gitee.com/mkk/oauth2-shiro/tree/2.0.0/

【推荐升级】

spring-dynamic-job v1.1发布;基础架构升级

spring-dynamic-job 创建以后(2014年开始)最大的版本发布v1.1,对基础架构升级满足新技术迭代需要,并增加更友好文档说明。

spring-dynamic-job 是 Spring与Quartz整合示例,有固定Job与动态Job实现示例,并提供相关工具类。

v1.1版本主要更新内容:

  1. 工程结构由传统的web工程变为SpringBoot架构,升级Spring,Quartz等版本解决各类历史漏洞等问题。
  2. Java版本升级使用openjdk 17,更好的支持java新特性与性能提升。
  3. 旧的XML配置全变更为 java config配置
  4. 日志组件由log4j更换为logback(解决log4j相关漏洞)
  5. 优化:使用文档重新调整目录结构,更新说明内容

v1.1版本链接:https://gitee.com/mkk/spring-dynamic-job/tree/1.1/