在Spring Security中,用什么来替代过时的AuthorizationServer? [英] What is the replacement for the deprecated AuthorizationServer in Spring Security?
问题描述
Spring Security 5.2.2包含了Spring Security OAuth项目,但没有包含AuthorizationServer或ResourceServer。在Spring Security 5.2.2中,对AuthorizationServer有哪些替代?
本文档包含将OAuth 2.0客户端和资源服务器从Spring Security OAuth 2.x迁移到Spring Security 5.2.x的指导。由于Spring Security不提供授权服务器支持,因此迁移Spring Security OAuth授权服务器不在本文档的讨论范围内。
推荐答案
首先要注意的是,Spring Security OAuth 2.4.0officially deprecates all its classes。
第二件事是根据Spring Security - OAuth 2.0 Features Matrix - FAQ:
我们不再计划向Spring Security添加授权服务器支持。
一种解决方案是使用OAuth2授权服务器,如Gluu或Keycloak,但根据您的使用情况和您在授权服务器中所做的定制程度,这肯定不是一目了然的。
由于Spring社区的抗议,也有一些希望仍然在Spring Security中实现授权服务器。根据Josh Cummings on Github:
我们要感谢每个人对不支持授权服务器的决定的反馈。由于这一反馈和一些内部讨论,我们正在重新考虑这一决定。如有任何进展,我们将通知社区。
另见:https://spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update
==更新2020年3月5日==
回答Joseph的问题:如果我们继续使用它会有什么问题吗?";:目前,没有具体的问题,仍然维护着Spring Security OAuth,但在不久的将来可能不会这样。引用same blog post as above:2.3.x线将于2020年3月达到EOL。我们将在达到功能平价后至少一年支持2.4.x系列。
为此,随着Spring Security 5.2的发布,我们强烈鼓励用户开始将其遗留的OAuth 2.0客户端和资源服务器应用程序迁移到Spring Security 5.2中的新支持。
==更新2020年4月15日==
全新的Spring授权服务器是announced。您可以在Github上找到。==更新2020年5月7日==
如Spring blog所示:
[...]计划在2021年5月之前为Spring Security Oauth2.4.x和2.5.x系列提供补丁和安全补丁。此外,在2022年5月之前,将支持2.5.x版本的安全修补程序,届时该项目将终止使用。
==更新2021年7月9日==
新Spring Authorization Server 0.1.2现已推出。According to the comments of Joe Grandja,生产就绪版本没有确定的时间表,API仍在发展中。
==更新2021年8月19日==
正式支持的第一个生产就绪版本--Spring Authorization Server 0.2.0已面市:https://spring.io/blog/2021/08/19/spring-authorization-server-goes-to-production
这篇关于在Spring Security中,用什么来替代过时的AuthorizationServer?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!