注意

檢視關於 宣佈 Spring 授權伺服器的最新公告。 這篇文章是使用 Spring Security 的下一代 OAuth 2.0 支援的後續。

當前狀態

在 Spring Security 5.x 版本中，我們致力於替換和簡化 Spring Security OAuth 2.x 遺留專案中的功能集。在此過程中，我們還添加了許多新功能，包括對 OpenID Connect 1.0 的支援。

我們很高興地宣佈，截至 5.2 版本，我們非常接近客戶端和資源伺服器遺留支援的功能對等。 剩下的非常少，我們完全預計將在 5.3 版本中宣佈功能對等。

我們要特別感謝社群中所有使 Spring Security 發展到今天的人！ 我們希望將來能看到更多來自大家的貢獻。

不支援授權伺服器

2012 年 10 月，釋出了 RFC 6749，即 OAuth 2.0 授權框架。 隨後，在 2014 年 5 月，Spring Security OAuth 釋出了 2.0.0 版本，支援授權伺服器、資源伺服器和客戶端。 在缺乏 OAuth 2.0 庫和產品的情況下，這非常有意義。

Spring Security 的授權伺服器支援從來都不是一個好的選擇。 授權伺服器需要一個庫來構建產品。 Spring Security 作為一個框架，並不從事構建庫或產品的業務。 例如，我們沒有 JWT 庫，而是使 Nimbus 易於使用。 我們也不維護我們自己的 SAML IdP、CAS 或 LDAP 產品。

在 2019 年，有大量商業和 開源 授權伺服器可用。 因此，Spring Security 團隊已決定不再提供對授權伺服器的支援。

更新：我們要感謝大家對不支援授權伺服器的決定的反饋。 由於此反饋和一些內部討論，我們正在重新審視此決定。 我們將通知社群任何進展。

Spring Security OAuth 2.x 的支援生命週期

在 2018 年初，我們宣佈 Spring Security OAuth 專案正式進入維護模式。 我們已經停止了對 2.0.x 的支援，這與 Boot 的 1.x End-of-Life (EOL) 以及 2.1.x 和 2.2.x 一致。 我們的計劃是在不久的將來停止剩餘的支援。

目前支援的分支是 2.3.x 和 2.4.x。 2.3.x 系列將在 2020 年 3 月達到 EOL。 我們將在達到功能對等後至少一年支援 2.4.x 系列。

為此，隨著 Spring Security 5.2 的釋出，我們強烈建議使用者開始將其舊的 OAuth 2.0 客戶端和資源伺服器應用程式遷移到 Spring Security 5.2 中的新支援。

接下來

我們希望您能繼續與我們一起進行這個激動人心的旅程，使 OAuth 2.0 在您的 Java 應用程式中更容易使用。 請花點時間檢視我們目前為 5.3 版本計劃的內容。 我們希望您能繼續提供反饋，並希望提供一兩個貢獻！