在 Spring Security 6.2 和 6.3 版本中，我們一直致力於穩步改進使用 OAuth2 Client 的應用程式配置。透過允許應用程式釋出在應用啟動時自動包含在整體 OAuth2 Client 配置中的 bean，簡化了常見用例的配置。最近的改進包括：

• 只需釋出一個 OAuth2AuthorizedClientProvider (或 ReactiveOAuth2AuthorizedClientProvider) 型別的 bean，即可啟用擴充套件授權型別
• 只需釋出一個或多個 OAuth2AccessTokenResponseClient (或 ReactiveOAuth2AccessTokenResponseClient) 型別的 bean，即可使用自定義引數擴充套件 OAuth 2.0 訪問令牌請求
• 如果尚未釋出，Spring Security 會自動釋出一個 OAuth2AuthorizedClientManager (或 ReactiveOAuth2AuthorizedClientManager) 型別的 bean，從而在應用程式需要獲取訪問令牌時減少了樣板配置
…

我謹代表團隊和所有貢獻者宣佈，Spring Security 6.3.4、6.2.7 和 5.8.15 版本現已釋出。所有這些版本主要包括 bug 修復、依賴升級和文件改進。

要了解更多資訊，請訪問 6.3.4、6.2.7 和 5.8.15 的釋出摘要。

專案網站 | 參考手冊 | 幫助

我謹代表團隊和所有貢獻者宣佈，Spring Security 6.4 的第一個釋出候選版本現已可用。

此版本帶來了幾個引人注目的特性，包括：

• 支援 Passkeys
• 支援使用 RestClient 發起訪問令牌請求
• 改進了使用 WebClient 發起訪問令牌請求的支援
• 支援根據提供的配置構建 ClientRegistration
• AuthorizationManager 現在返回一個 AuthorizationResult
• AuthorizationEventPublisher 現在接受一個 AuthorizationResult
• 支援透過 SpEL 表示式提取巢狀許可權
• 安全觀察現在可選擇
…

我謹代表團隊和所有貢獻者，很高興宣佈 Spring Authorization Server 1.3.0-M3 版本釋出！Spring Authorization Server 的里程碑版本包含了一些值得注意的新特性：

• 新增 PKI Mutual-TLS 客戶端認證方法 (tls_client_auth) #1558
• 實現 OAuth 2.0 Token Exchange #1525 (參見相關部落格文章)

有關完整詳細資訊，請參閱 1.3.0-M3 的釋出說明。

要開始使用 Spring Authorization Server，請參閱參考文件中的入門章節和示例，以便熟悉設定和配置…

我很高興地分享，Spring Security 6.3 將支援 OAuth 2.0 Token Exchange Grant (RFC 8693)，該功能目前可在最新的里程碑版本 (6.3.0-M3) 中預覽。此支援提供了將 Token Exchange 與 OAuth2 Client 一起使用的能力。同樣，伺服器端支援也將隨 Spring Authorization Server 1.3 一起釋出，並且目前可在最新的里程碑版本 (1.3.0-M3) 中預覽。

Spring Security 的 OAuth2 Client 特性使我們能夠輕鬆地向使用 OAuth2 bearer token 保護的 API 發起受保護資源的請求。同樣，OAuth2 Resource Server…

我謹代表團隊和所有貢獻者宣佈，Spring Security 的 5.8.8、6.0.8、6.1.5 和 6.2.0-RC2 版本現已釋出。

請參閱釋出頁面，瞭解每個版本包含的詳細資訊。特別是，您可以檢視構成下個月釋出的 6.2.0 版本 (6.2.0-M1, 6.2.0-M2, 6.2.0-M3, 6.2.0-RC1, 6.2.0-RC2) 的每個里程碑的釋出說明。

我們鼓勵您試用最新的釋出候選版本並提供任何反饋！6.2 釋出候選版本中包含一些值得注意的更改：

• 新增 with() 方法以應用 SecurityConfigurerAdapter #13432
• 如果存在 CorsConfigurationSource bean，自動啟用 .cors() #5011
• 簡化 OAuth2 Client 元件模型的配置 #13587 (部落格文章, 文件)
• 新增 OIDC 後端通道登出支援 #7845 (文件)
• 虛擬執行緒的測試覆蓋率 #12790, #12791
• 為 AuthorizeHttpRequests 新增 servlet 模式支援 #13857 (文件)
…

在 Spring Security 5 中，隨著 OAuth2 Resource Server 和 OAuth2 Client 被引入框架，OAuth2 功能有了許多發展。

如今，使用 OAuth2 Resource Server 中提供的功能開發由 OAuth2 保護的應用程式非常方便。此外，我們可以利用 OAuth2 Client 的特性與 OAuth 2.0 和 OpenID Connect 1.0 提供商整合，從而可以透過 OAuth2 Login 認證使用者和/或向由 OAuth2 保護的應用程式發起受保護的請求。

然而，OAuth2 生態系統非常複雜，並且定製化…

今天，我很高興地宣佈您擁有了一項新超能力：在 Spring Initializr 上使用 Spring Authorization Server 建立應用程式！

沒錯，是時候開始您的 OAuth2 之旅，成為您一直夢想成為的英雄了！在這篇文章中，我將解釋如何充分利用您的新超能力以及在哪裡可以學習更多。

什麼是 Spring Authorization Server？

Spring Authorization Server 是一個基於 Spring Security 構建的開源框架，允許您建立自己的基於標準的 OAuth2 Authorization Server 或 OpenID Connect Provider。它實現了…

我謹代表團隊和所有貢獻者，非常高興地宣佈 Spring Security 6.1 正式可用！

除了 bug 修復和依賴升級之外，6.1 版本帶來了許多新特性，包括：

• AuthorizationManager 增強功能

• OAuth2 增強功能

• SAML2 增強功能

• RequestMatcher 增強功能

• 更新的文件頁面和導航改進

請查閱Spring Security 6.1 新特性，瞭解新特性的完整列表。

您也可以參閱 6.1.0-M1、6.1.0-M2、6.1.0-RC1 和 6.1.0 的釋出說明，以便深入瞭解。

…

我謹代表團隊和所有貢獻者，很高興宣佈 Spring Authorization Server 1.1.0-M2 正式可用。

此版本的主要功能是支援 OAuth 2.0 Device Authorization Grant (gh-1106)。

有關完整詳細資訊，請參閱釋出說明。

要開始使用 Spring Authorization Server，請參閱參考文件中的入門章節和示例，以便熟悉設定和配置。

專案頁面 | GitHub Issues | ZenHub 面板