注意

查看关于 宣布 Spring 授权服务器的最新公告。 这篇文章是使用 Spring Security 的下一代 OAuth 2.0 支持的后续。

当前状态

在 Spring Security 5.x 版本中，我们致力于替换和简化 Spring Security OAuth 2.x 遗留项目中的功能集。在此过程中，我们还添加了许多新功能，包括对 OpenID Connect 1.0 的支持。

我们很高兴地宣布，截至 5.2 版本，我们非常接近客户端和资源服务器遗留支持的功能对等。 剩下的非常少，我们完全预计将在 5.3 版本中宣布功能对等。

我们要特别感谢社区中所有使 Spring Security 发展到今天的人！ 我们希望将来能看到更多来自大家的贡献。

不支持授权服务器

2012 年 10 月，发布了 RFC 6749，即 OAuth 2.0 授权框架。 随后，在 2014 年 5 月，Spring Security OAuth 发布了 2.0.0 版本，支持授权服务器、资源服务器和客户端。 在缺乏 OAuth 2.0 库和产品的情况下，这非常有意义。

Spring Security 的授权服务器支持从来都不是一个好的选择。 授权服务器需要一个库来构建产品。 Spring Security 作为一个框架，并不从事构建库或产品的业务。 例如，我们没有 JWT 库，而是使 Nimbus 易于使用。 我们也不维护我们自己的 SAML IdP、CAS 或 LDAP 产品。

在 2019 年，有大量商业和 开源 授权服务器可用。 因此，Spring Security 团队已决定不再提供对授权服务器的支持。

更新：我们要感谢大家对不支持授权服务器的决定的反馈。 由于此反馈和一些内部讨论，我们正在重新审视此决定。 我们将通知社区任何进展。

Spring Security OAuth 2.x 的支持生命周期

在 2018 年初，我们宣布 Spring Security OAuth 项目正式进入维护模式。 我们已经停止了对 2.0.x 的支持，这与 Boot 的 1.x End-of-Life (EOL) 以及 2.1.x 和 2.2.x 一致。 我们的计划是在不久的将来停止剩余的支持。

目前支持的分支是 2.3.x 和 2.4.x。 2.3.x 系列将在 2020 年 3 月达到 EOL。 我们将在达到功能对等后至少一年支持 2.4.x 系列。

为此，随着 Spring Security 5.2 的发布，我们强烈建议用户开始将其旧的 OAuth 2.0 客户端和资源服务器应用程序迁移到 Spring Security 5.2 中的新支持。

接下来

我们希望您能继续与我们一起进行这个激动人心的旅程，使 OAuth 2.0 在您的 Java 应用程序中更容易使用。 请花点时间查看我们目前为 5.3 版本计划的内容。 我们希望您能继续提供反馈，并希望提供一两个贡献！