在 Spring Security 6.2 和 6.3 中，我們努力不斷改進使用 OAuth2 Client 的應用程式的配置。透過允許應用程式發佈 bean，這些 bean 會在應用程式啟動期間自動包含在整體 OAuth2 Client 配置中，從而簡化了常見使用案例的配置。最近的改進包括

• 只需發佈類型為 OAuth2AuthorizedClientProvider（或 ReactiveOAuth2AuthorizedClientProvider）的 bean 即可啟用擴充授權類型
• 只需發佈一或多個類型為 OAuth2AccessTokenResponseClient（或 ReactiveOAuth2AccessTokenResponseClient）的 bean 即可使用自訂參數擴充 OAuth 2.0 存取權杖請求
• 如果尚未發佈，Spring Security 會自動發佈類型為 OAuth2AuthorizedClientManager（或 ReactiveOAuth2AuthorizedClientManager）的 bean，從而減少應用程式需要取得存取權杖時的樣板程式碼配置
…

我很高興代表團隊和所有貢獻者宣布 Spring Security 6.3.4、6.2.7 和 5.8.15 現在已可用。在所有情況下，這些發佈版本主要由錯誤修復、依賴項升級和文件改進組成。

若要瞭解更多資訊，請造訪 6.3.4、6.2.7 和 5.8.15 發佈摘要。

專案網站 | 參考 | 說明

我很高興代表團隊和所有貢獻者宣布 Spring Security 6.4 的第一個候選版本現已推出。

此版本帶來了幾個引人注目的功能，包括

• 對通行金鑰的支援
• 支援使用 RestClient 提出存取權杖請求
• 改進了對使用 WebClient 提出存取權杖請求的支援
• 支援從提供的配置建構 ClientRegistration
• AuthorizationManager 現在會傳回 AuthorizationResult
• AuthorizationEventPublisher 現在接受 AuthorizationResult
• 支援透過 SpEL 運算式擷取巢狀授權
• 安全性觀察現在可選取
…

我很高興代表團隊和所有貢獻者宣布 Spring Authorization Server 1.3.0-M3 的發佈！ Spring Authorization Server 的里程碑版本包含一些值得注意的新功能

• 新增 PKI Mutual-TLS 用戶端驗證方法 (tls_client_auth) #1558
• 實作 OAuth 2.0 權杖交換 #1525（請參閱相關的 部落格文章）

如需完整詳細資訊，請參閱 1.3.0-M3 版本資訊。

若要開始使用 Spring Authorization Server，請參閱參考文件中的 入門 章節，以及 範例，以熟悉設定和配置…

我很高興分享 Spring Security 6.3 將支援 OAuth 2.0 權杖交換授權 (RFC 8693)，目前可在最新的里程碑版本中進行預覽 (6.3.0-M3)。 此支援提供使用 OAuth2 Client 進行權杖交換的能力。 同樣，伺服器端支援也隨 Spring Authorization Server 1.3 一起提供，目前可在最新的里程碑版本中進行預覽 (1.3.0-M3)。

Spring Security 的 OAuth2 Client 功能讓我們可以輕鬆地向受 OAuth2 持有者權杖保護的 API 發出受保護的資源請求。 同樣，OAuth2 資源伺服器…

我很高興代表團隊和所有貢獻者宣布 Spring Security 5.8.8、6.0.8、6.1.5 和 6.2.0-RC2 版本現已推出。

請參閱 發佈頁面，以取得每個發佈版本中包含的更多詳細資訊。 特別是，您可以檢閱組成 6.2.0 發佈版本的每個里程碑的版本資訊 (6.2.0-M1、6.2.0-M2、6.2.0-M3、6.2.0-RC1、6.2.0-RC2) 下個月。

我們鼓勵您試用最新的候選版本，並提供您的任何意見反應！ 6.2 候選版本中提供的一些值得注意的變更包括

• 新增 with() 方法以套用 SecurityConfigurerAdapter #13432
• 如果存在 CorsConfigurationSource bean，則自動啟用 .cors() #5011
• 簡化 OAuth2 Client 元件模型的配置 #13587 (部落格文章、文件)
• 新增 OIDC Back-channel Logout 支援 #7845 (文件)
• 虛擬執行緒的測試覆蓋率 #12790、#12791
• 新增 servlet 模式支援至 AuthorizeHttpRequests #13857 (文件)
…

在 Spring Security 5 中，我們看到 OAuth2 故事的許多發展，將 OAuth2 資源伺服器和 OAuth2 Client 引入到框架中。

如今，使用 OAuth2 資源伺服器中提供的功能來開發受 OAuth2 保護的應用程式非常方便。 此外，我們可以利用 OAuth2 Client 功能與 OAuth 2.0 和 OpenID Connect 1.0 提供者整合，從而可以使用 OAuth2 登入來驗證使用者，和/或向受 OAuth2 保護的應用程式發出受保護的請求。

但是，OAuth2 的情況非常複雜，且自訂…

今天，我很高興宣布您擁有了一種新的超能力：在 Spring Initializr 上使用 Spring Authorization Server 建立應用程式！

沒錯，現在是開始您的 OAuth2 之旅並成為您一直知道自己可以成為的英雄的時候了！ 在這篇文章中，我將說明如何充分利用您的新超能力以及在哪裡可以瞭解更多資訊。

什麼是 Spring Authorization Server？

Spring Authorization Server 是一個建構在 Spring Security 之上的開放原始碼架構，可讓您建立自己的基於標準的 OAuth2 授權伺服器或 OpenID Connect 提供者。 它實作…

我很高興代表團隊和所有貢獻者宣布 Spring Security 6.1 的正式發佈！

除了錯誤修復和依賴項升級之外，6.1 版本還帶來了許多新功能，包括

• AuthorizationManager 增強功能

• OAuth2 增強功能

• SAML2 增強功能

• RequestMatcher 增強功能

• 重新整理的文件頁面和導覽改進

請查看 Spring Security 6.1 的新功能，以取得新功能的完整清單。

您也可以查看 6.1.0-M1、6.1.0-M2、6.1.0-RC1 和 6.1.0 的版本資訊，以取得深入的檢視。

…

我很榮幸代表團隊和所有貢獻者宣布 Spring Authorization Server 1.1.0-M2 正式發布。

此版本的主要功能是支援 OAuth 2.0 裝置授權許可 (gh-1106)。

請參閱發布說明，以取得完整詳細資訊。

若要開始使用 Spring Authorization Server，請參閱參考文件中的入門指南章節，以及範例，以熟悉設定和配置。

專案頁面 | GitHub 問題 | ZenHub 看板