注意

请查看关于Spring Authorization Server 公告的最新消息。此文是Spring Security 支持下一代 OAuth 2.0的后续报道。

现状

在 Spring Security 5.x 发布系列中，我们致力于替换和简化 Spring Security OAuth 2.x 遗留项目中的功能集。在此过程中，我们还添加了许多新功能，包括对 OpenID Connect 1.0 的支持。

我们很高兴地宣布，自 5.2 版本发布以来，我们与客户端和资源服务器的传统支持已非常接近功能对等。剩余的工作量非常小，我们完全期待在 5.3 版本发布时宣布功能对等。

我们要特别感谢社区中所有将 Spring Security 带到这一步的人们！我们希望将来能看到大家更多的贡献。

不支持授权服务器

2012 年 10 月，OAuth 2.0 授权框架的RFC 6749发布。随后，Spring Security OAuth 于 2014 年 5 月发布了 2.0.0 版本，支持授权服务器、资源服务器和客户端。在没有 OAuth 2.0 库和产品的情况下，这非常有意义。

Spring Security 的授权服务器支持从来都不是一个好的选择。授权服务器需要一个库来构建产品。Spring Security 作为一个框架，不从事构建库或产品的工作。例如，我们没有 JWT 库，而是使 Nimbus 易于使用。我们也不维护自己的 SAML IdP、CAS 或 LDAP 产品。

2019 年，市面上有大量的商业和开源授权服务器。因此，Spring Security 团队已决定不再提供对授权服务器的支持。

更新：我们感谢大家对不支持授权服务器的决定的反馈。鉴于这些反馈和一些内部讨论，我们正在重新审视这一决定。我们将向社区通报任何进展。

Spring Security OAuth 2.x 的支持生命周期

2018 年初，我们宣布 Spring Security OAuth 项目正式进入维护模式。我们已经停止了对 2.0.x 的支持，这与 Boot 1.x 版本的生命周期结束 (EOL) 以及 2.1.x 和 2.2.x 版本一致。我们的计划是在不久的将来停止其余的支持。

目前支持的分支是 2.3.x 和 2.4.x。2.3.x 版本线将于 2020 年 3 月达到 EOL。我们将在达到功能对等后至少一年内支持 2.4.x 版本线。

为此，随着 Spring Security 5.2 的发布，我们强烈鼓励用户开始将他们的传统 OAuth 2.0 客户端和资源服务器应用程序迁移到 Spring Security 5.2 中的新支持。

接下来

我们希望您能与我们一起继续这段激动人心的旅程，让 OAuth 2.0 在您的 Java 应用程序中更易于使用。请花点时间查看我们目前为 5.3 版本计划的内容。我们希望您能继续提供反馈，并希望能提供一两个贡献！