注意

請參閱關於 Announcing the Spring Authorization Server (宣布 Spring 授權伺服器) 的最新公告。這篇文章是 Next Generation OAuth 2.0 Support with Spring Security (Spring Security 的下一代 OAuth 2.0 支援) 的後續。

目前狀態

在 Spring Security 5.x 版本系列中，我們致力於替換和簡化 Spring Security OAuth 2.x 舊版專案中的功能集。 在此過程中，我們還新增了許多新功能，包括對 OpenID Connect 1.0 的支援。

我們很高興宣布，截至 5.2 版本，我們非常接近與客戶端和資源伺服器舊版支援功能對等。 剩下的工作非常少，我們完全期望在 5.3 版本中宣布功能對等。

我們要特別感謝社群中所有讓 Spring Security 走到今天的人！ 我們希望看到更多來自大家的貢獻。

不支援授權伺服器

在 2012 年 10 月，RFC 6749 (OAuth 2.0 授權框架) 被發布。 隨後在 2014 年 5 月，Spring Security OAuth 發布了 2.0.0 版本，支援授權伺服器、資源伺服器和客戶端。 在缺乏 OAuth 2.0 函式庫和產品的情況下，這非常有意義。

Spring Security 對授權伺服器的支援從來都不是一個好的選擇。 授權伺服器需要一個函式庫來構建產品。 Spring Security 作為一個框架，並不從事構建函式庫或產品的業務。 例如，我們沒有 JWT 函式庫，但我們讓 Nimbus 易於使用。 我們也不維護我們自己的 SAML IdP、CAS 或 LDAP 產品。

在 2019 年，有大量的商業和 開源授權伺服器可用。 因此，Spring Security 團隊已決定不再提供對授權伺服器的支援。

更新：我們想感謝大家對不支援授權伺服器的決定的回饋。 由於這些回饋和一些內部討論，我們正在重新審視這個決定。 我們將通知社群任何進展。

Spring Security OAuth 2.x 的支援生命週期

在 2018 年初，我們宣布 Spring Security OAuth 專案正式進入維護模式。 根據 Boot 的 1.x End-of-Life (EOL)，以及 2.1.x 和 2.2.x，我們已經停止了對 2.0.x 的支援。 我們的計劃是在不久的將來停止剩餘的支援。

目前支援的分支是 2.3.x 和 2.4.x。 2.3.x 系列將於 2020 年 3 月達到 EOL。 我們將在達到功能對等後至少一年支援 2.4.x 系列。

為此，隨著 Spring Security 5.2 的發布，我們強烈建議使用者開始將其舊版 OAuth 2.0 客戶端和資源伺服器應用程式遷移到 Spring Security 5.2 中的新支援。

下一步

我們希望您能繼續與我們一起踏上這段激動人心的旅程，讓 OAuth 2.0 在您的 Java 應用程式中更容易使用。 請花一點時間查看我們目前為 5.3 版本計劃的內容。 我們希望您能繼續提供回饋，並希望提供一兩個貢獻！