在 Spring Security 6.2 和 6.3 中，我们一直致力于稳步改进使用 OAuth2 客户端的应用程序的配置。通过允许应用程序发布在应用程序启动期间自动包含在整个 OAuth2 客户端配置中的 bean，常见用例的配置已得到简化。最近的改进包括：

• 只需发布一个 OAuth2AuthorizedClientProvider（或 ReactiveOAuth2AuthorizedClientProvider）类型的 bean 即可启用扩展授权类型。
• OAuth 2.0 访问令牌请求可以通过发布一个或多个 OAuth2AccessTokenResponseClient（或 ReactiveOAuth2AccessTokenResponseClient）类型的 bean 来扩展自定义参数。
• 如果尚未发布 OAuth2AuthorizedClientManager（或 ReactiveOAuth2AuthorizedClientManager）类型的 bean，Spring Security 会自动发布一个，从而在应用程序需要获取访问令牌时减少样板配置。
…

我很高兴地宣布，代表团队和所有贡献者，Spring Security 6.3.4、6.2.7 和 5.8.15 现已发布。在所有情况下，这些发布主要由错误修复、依赖项升级和文档改进组成。

欲了解更多信息，请访问 6.3.4、6.2.7 和 5.8.15 发布摘要。

项目网站 | 参考 | 帮助

我很高兴地宣布，代表团队和所有贡献者，Spring Security 6.4 的第一个发布候选版本现已发布。

此版本带来了几个引人注目的功能，包括：

• 支持 Passkeys
• 支持使用 RestClient 进行访问令牌请求
• 改进了使用 WebClient 进行访问令牌请求的支持
• 支持从提供的配置构建 ClientRegistration
• AuthorizationManager 现在返回 AuthorizationResult
• AuthorizationEventPublisher 现在接受 AuthorizationResult
• 支持通过 SpEL 表达式提取嵌套权限
• 安全观察现在可选
…

我很高兴地宣布，代表团队和所有贡献者，Spring Authorization Server 1.3.0-M3 已发布！Spring Authorization Server 的里程碑版本包含一些值得注意的新功能：

• 添加 PKI 双向 TLS 客户端认证方法 (tls_client_auth) #1558
• 实现 OAuth 2.0 令牌交换 #1525（参阅相关博客文章）

有关完整详细信息，请参阅 1.3.0-M3 发布说明。

要开始使用 Spring Authorization Server，请参阅参考文档的入门章节和示例，以熟悉设置和配置……

我很高兴地分享，Spring Security 6.3 将支持 OAuth 2.0 令牌交换授权 (RFC 8693)，该功能已在最新的里程碑版本 (6.3.0-M3) 中提供预览。此支持允许将令牌交换与 OAuth2 客户端一起使用。同样，服务器端支持也将在 Spring Authorization Server 1.3 中提供，并已在最新的里程碑版本 (1.3.0-M3) 中提供预览。

Spring Security 的 OAuth2 客户端功能允许我们轻松地向使用 OAuth2 持有者令牌保护的 API 发送受保护资源请求。同样，OAuth2 资源服务器……

我很高兴地宣布，代表团队和所有贡献者，Spring Security 5.8.8、6.0.8、6.1.5 和 6.2.0-RC2 版本现已发布。

请参阅发布页面，了解每个版本中包含的更多详细信息。特别是，您可以查看构成 6.2.0 版本的每个里程碑（6.2.0-M1、6.2.0-M2、6.2.0-M3、6.2.0-RC1、6.2.0-RC2）的发布说明，该版本将于下月发布。

我们鼓励您试用最新的发布候选版本，并提供您的任何反馈！6.2 发布候选版本中一些值得注意的更改包括：

• 添加 with() 方法以应用 SecurityConfigurerAdapter #13432
• 如果存在 CorsConfigurationSource bean，则自动启用 .cors() #5011
• 简化 OAuth2 客户端组件模型的配置 #13587（博客文章，文档）
• 添加 OIDC 后台通道注销支持 #7845（文档）
• 虚拟线程的测试覆盖率 #12790，#12791
• 为 AuthorizeHttpRequests 添加 servlet 模式支持 #13857（文档）
…

在 Spring Security 5 中，随着 OAuth2 Resource Server 和 OAuth2 Client 的引入，我们在 OAuth2 方面取得了许多进展。

如今，使用 OAuth2 Resource Server 中可用的功能开发受 OAuth2 保护的应用程序非常方便。此外，我们可以利用 OAuth2 客户端功能与 OAuth 2.0 和 OpenID Connect 1.0 提供商集成，从而可以使用 OAuth2 登录对用户进行身份验证和/或向受 OAuth2 保护的应用程序发出受保护的请求。

然而，OAuth2 格局非常复杂，定制……

今天，我很高兴地宣布您拥有了一项新的超能力：使用 Spring Authorization Server 在 Spring Initializr 上创建应用程序！

没错，是时候开始您的 OAuth2 之旅，成为您一直都知道自己能成为的英雄了！在这篇文章中，我将解释如何充分利用您的新超能力以及去哪里学习更多。

什么是 Spring Authorization Server？

Spring Authorization Server 是一个基于 Spring Security 构建的开源框架，允许您创建自己的基于标准的 OAuth2 授权服务器或 OpenID Connect 提供商。它实现了……

我很高兴地宣布，代表团队和所有贡献者，Spring Security 6.1 已正式发布！

除了错误修复和依赖项升级，6.1 版本还带来了许多新功能，包括：

• AuthorizationManager 增强功能

• OAuth2 增强功能

• SAML2 增强功能

• RequestMatcher 增强功能

• 更新的文档页面和导航改进

请查看 Spring Security 6.1 的新功能，获取新功能的完整列表。

您还可以查看 6.1.0-M1、6.1.0-M2、6.1.0-RC1 和 6.1.0 的发布说明，以获取深入的视图。

…

我很高兴地宣布，代表团队和所有贡献者，Spring Authorization Server 1.1.0-M2 已正式发布。

此版本中提供的主要功能是支持 OAuth 2.0 设备授权流 (gh-1106)。

有关完整详细信息，请参阅发布说明。

要开始使用 Spring Authorization Server，请参阅参考文档的入门章节和示例，以熟悉设置和配置。

项目页面 | GitHub 问题 | ZenHub 面板