注意

請檢視關於Spring Authorization Server 公告的最新訊息。此文是Spring Security 支援下一代 OAuth 2.0的後續報道。

現狀

在 Spring Security 5.x 釋出系列中，我們致力於替換和簡化 Spring Security OAuth 2.x 遺留專案中的功能集。在此過程中，我們還添加了許多新功能，包括對 OpenID Connect 1.0 的支援。

我們很高興地宣佈，自 5.2 版本釋出以來，我們與客戶端和資源伺服器的傳統支援已非常接近功能對等。剩餘的工作量非常小，我們完全期待在 5.3 版本釋出時宣佈功能對等。

我們要特別感謝社群中所有將 Spring Security 帶到這一步的人們！我們希望將來能看到大家更多的貢獻。

不支援授權伺服器

2012 年 10 月，OAuth 2.0 授權框架的RFC 6749釋出。隨後，Spring Security OAuth 於 2014 年 5 月釋出了 2.0.0 版本，支援授權伺服器、資源伺服器和客戶端。在沒有 OAuth 2.0 庫和產品的情況下，這非常有意義。

Spring Security 的授權伺服器支援從來都不是一個好的選擇。授權伺服器需要一個庫來構建產品。Spring Security 作為一個框架，不從事構建庫或產品的工作。例如，我們沒有 JWT 庫，而是使 Nimbus 易於使用。我們也不維護自己的 SAML IdP、CAS 或 LDAP 產品。

2019 年，市面上有大量的商業和開源授權伺服器。因此，Spring Security 團隊已決定不再提供對授權伺服器的支援。

更新：我們感謝大家對不支援授權伺服器的決定的反饋。鑑於這些反饋和一些內部討論，我們正在重新審視這一決定。我們將向社群通報任何進展。

Spring Security OAuth 2.x 的支援生命週期

2018 年初，我們宣佈 Spring Security OAuth 專案正式進入維護模式。我們已經停止了對 2.0.x 的支援，這與 Boot 1.x 版本的生命週期結束 (EOL) 以及 2.1.x 和 2.2.x 版本一致。我們的計劃是在不久的將來停止其餘的支援。

目前支援的分支是 2.3.x 和 2.4.x。2.3.x 版本線將於 2020 年 3 月達到 EOL。我們將在達到功能對等後至少一年內支援 2.4.x 版本線。

為此，隨著 Spring Security 5.2 的釋出，我們強烈鼓勵使用者開始將他們的傳統 OAuth 2.0 客戶端和資源伺服器應用程式遷移到 Spring Security 5.2 中的新支援。

接下來

我們希望您能與我們一起繼續這段激動人心的旅程，讓 OAuth 2.0 在您的 Java 應用程式中更易於使用。請花點時間檢視我們目前為 5.3 版本計劃的內容。我們希望您能繼續提供反饋，並希望能提供一兩個貢獻！