Spring Security 5.2.2已合并了Spring Security OAuth项目,但未合并AuthorizationServer或ResourceServer。Spring Security 5.2.2中什么是AuthorizationServer的替代品?
本文档包含有关将OAuth 2.0客户端和资源服务器从Spring Security OAuth 2.x迁移到Spring Security 5.2.x的指南。由于Spring Security不提供Authorization Server支持,因此迁移Spring Security OAuth Authorization Server超出了本文档的范围。
Answers:
首先要注意的是,Spring Security OAuth 2.4.0 正式弃用了其所有类。
第二件事是根据Spring Security-OAuth 2.0功能列表-常见问题解答:
我们不再计划在Spring Security中添加Authorization Server支持。
一种解决方案是使用OAuth2授权服务器,例如Gluu或Keycloak,但是根据您的使用情况以及您在授权服务器中进行的自定义程度,这当然并不容易。
由于Spring社区的抗议,人们还希望在Spring Security中仍然可以实现授权服务器。根据Github上的Josh Cummings的说法:
我们非常感谢大家对不支持Authorization Server的决定提供的反馈。由于有了这些反馈和一些内部讨论,我们正在对该决策进行另一种观察。我们会在任何进度上通知社区。
另请参阅:https : //spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update
==更新2020年3月5日==
回答约瑟夫(Joseph)的问题:“是否继续使用是否有问题?”:目前,还没有特定的问题,Spring Security OAuth仍会保留,但是在不久的将来可能不会发生。引用与上述相同的博客文章:
2.3.x版本将于2020年3月达到停产期。我们将在达到功能均等后至少一年支持2.4.x版本。
为此,随着Spring Security 5.2的发布,我们强烈鼓励用户开始将其旧版OAuth 2.0客户端和资源服务器应用程序迁移到Spring Security 5.2中的新支持。
==更新2020年4月15日==