Spring Security團隊正式宣佈Spring Security OAuth終止維護。 目前官網的主頁已經高亮提醒徹底停止維護。 舊的Spring Security OAuth項目終止到2.5.2.RELEASE版本,該項目將不會再進行任何的迭代,包括Bug修複,之前胖哥已經提醒該項目即將停 ...
Spring Security團隊正式宣佈Spring Security OAuth終止維護。
目前官網的主頁已經高亮提醒徹底停止維護。
舊的Spring Security OAuth項目終止到2.5.2.RELEASE版本,該項目將不會再進行任何的迭代,包括Bug修複,之前胖哥已經提醒該項目即將停止維護,有心的同學已經進行了遷移。
項目文檔和代碼倉庫被移除
目前該項目的官方文檔已經正式從spring.io移除,文檔已經指向404,這是連文檔也沒有了。新增了OAuth2授權伺服器Spring Authorization Server的文檔。
不僅僅文檔被移除,連項目的倉庫也被遷移到Spring的過期項目倉庫spring-attic
並被標記為read-only。
Spring Security OAuth的Spring Boot自動配置代碼倉庫也一併被遷移,也就是說Spring Boot相關的自動配置也被移除。
從這種情況看來大約Spring Security OAuth的確是死了。難道就沒有可用的了嗎?當然不是。
遷移指南
這是胖哥總結的遷移指南。
依賴項檢查
那麼如何檢查你的項目是否用了舊的OAuth2設施呢?當然是對依賴進行檢查。以下清單中的依賴任何版本的都是過期的,都需要遷移:
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth-parent</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>
你可以通過mvn dependency:tree
來檢查依賴樹是否集成了上述依賴項。
新的OAuth2替代方案
需要開發者掌握OAuth2.0、OAuth2.1、OIDC 1.0的一些知識。
Spring Security 5中集成了OAuth2 Client和Resource Server兩個模塊。如果有遷移的需要,建議遷移至最新的Spring Security 5.7.x,方便向Spring 6過渡。以Spring Boot為例,首先要集成Spring Security:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
這裡建議使用最新版本,目前是2.7。
集成OAuth2 Client依賴
OAuth2 Client依賴於Spring Security,不能單獨使用:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
集成Resource Server依賴
Resource Server同樣也依賴於Spring Security,不能單獨使用:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
集成OAuth2授權伺服器依賴
目前Spring生態中的OAuth2授權伺服器是Spring Authorization Server,目前已具備生產就緒能力。在最新的0.3.0版本中,官方文檔正式在spring.io上線,需要你知道的是它必須在Java 11及以上版本才能使用。它也作為一個Spring Security子模塊,不能單獨使用:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-authorization-server</artifactId>
<version>0.3.0</version>
</dependency>
透露一下,該項目的Spring Boot Starter也將在不久實裝。
學習指南
胖哥近幾個月一直在對新的OAuth2相關的進行系統化總結。因此你只要關註胖哥,總能獲得相關的知識和實戰乾貨分享。當然這裡胖哥也給出了一些參考的文獻:
- OAuth2框架:https://oauth.net
- OIDC 1.0協議:https://openid.net
- Spring Security: http://felord.cn
- 新的Spring Security OAuth2:http://felord.cn
項目參考代碼DEMO:
- Spring Security 5 學習:https://gitee.com/felord/security-learning
- Spring Security OAuth2 教程:https://github.com/NotFound403/spring-security-oauth2-tutorial
- 授權伺服器控制台Id Server:https://github.com/NotFound403/id-server
- 登錄擴展插件:https://github.com/NotFound403/spring-security-login-extension
總結
舊的Spring Security OAuth過期,其實也不必恐慌,除非你們在這一方面的架構需要繼續迭代。不過隨著新的方案面世,舊方案的可維護性會大大降低,有條件的還是要遷移一下的。Spring Cloud也將會在未來某個時間點做出一些調整以適應新的架構。請持續關註,後面會及時帶來相關的消息。
關註公眾號:Felordcn 獲取更多資訊
博主:碼農小胖哥 出處:felord.cn 本文版權歸原作者所有,不可商用,轉載需要聲明出處,否則保留追究法律責任的權利。如果文中有什麼錯誤,歡迎指出。以免更多的人被誤導。 |