Spring Security 5.2.2已经整合了Spring Security OAuth项目,但没有整合AuthorizationServer或ResourceServer。在Spring Security 5.2.2中,AuthorizationServer的替代品是什么?
OAuth-2.0-Migration-Guide
本文档包含将OAuth 2.0客户端和资源服务器从Spring Security OAuth 2.x迁移到Spring Security 5.2.x的指导。由于Spring Security不提供授权服务器支持,因此迁移Spring Security OAuth授权服务器不在本文档的讨论范围之内。
1条答案
按热度按时间hec6srdp1#
首先要注意的是Spring Security OAuth 2.4.0 officially deprecates all its classes.
第二件事是,根据Spring Security - OAuth 2.0功能列表-常见问题解答:
我们不再计划在Spring Security中添加授权服务器支持。
一种解决方案是使用OAuth2授权服务器(如Gluu或Keycloak),但根据您的使用情况和在授权服务器中进行的自定义程度,这肯定不是一件简单的事情。
由于Spring社区的抗议,授权服务器仍有希望在Spring Security中实现。
我们非常感谢大家对不支持授权服务器的决定提供反馈。由于此反馈和一些内部讨论,我们正在重新考虑此决定。我们将通知社区任何进展。
另请参阅:Spring Security OAuth 2.0 Roadmap Update
== 2020年3月5日更新==
回答约瑟夫的问题:“如果继续使用,会出现什么问题吗?":目前,没有具体的问题,Spring Security OAuth仍在维护,但在不久的将来可能就不是这样了。
2.3.x产品线将于2020年3月停产。我们将在达到功能对等后至少一年支持2.4.x产品线。
为此,随着Spring Security 5.2的发布,我们强烈鼓励用户开始将他们的遗留OAuth 2.0客户端和资源服务器应用程序迁移到Spring Security 5.2中的新支持。
== 2020年4月15日更新==
一个全新的Spring授权服务器是announced,你可以在Github上找到它。
== 2020年5月7日更新==
正如Spring blog上宣布的那样:
[...]计划为Spring Security Oauth 2.4.x和2.5.x产品线提供补丁和安全修复程序,直至2021年5月。此外,2.5.x产品线的安全修复程序将支持至2022年5月,届时项目将终止。
== 2021年7月9日更新==
新的Spring Authorization Server 0.1.2现已推出。According to the comments of Joe Grandja,但生产就绪版本没有明确的时间表,API仍在不断发展。
== 2021年8月19日更新==
第一个正式支持的生产就绪版本Spring Authorization Server 0.2.0已发布:Spring Authorization Server goes to production !
== 2022年3月24日更新==
Spring Authorization Server 0.2.3现已推出,但仍不具备与已弃用的Spring Security OAuth project中的授权服务器同等的功能。完整的功能可在Github wiki中找到。ZenHub board的改进可紧随其后。
== 2022年6月1日更新==
Spring Security OAuth和Spring Security OAuth Boot 2自动配置项目的生命周期已结束。请参阅官方blog post。
== 2022年7月28日更新==
Spring授权服务器1.0将于2022年11月推出annouced。它将需要Spring 6、JDK 17和Tomcat 10或Jetty 11。VMware提供商业支持。