Spring Security OAuth正式終止維護，已從官網下架

-Advertisement-

Spring Security團隊正式宣佈Spring Security OAuth終止維護。目前官網的主頁已經高亮提醒徹底停止維護。舊的Spring Security OAuth項目終止到2.5.2.RELEASE版本，該項目將不會再進行任何的迭代，包括Bug修複，之前胖哥已經提醒該項目即將停 ...

Spring Security團隊正式宣佈Spring Security OAuth終止維護。

目前官網的主頁已經高亮提醒徹底停止維護。

舊的Spring Security OAuth項目終止到2.5.2.RELEASE版本，該項目將不會再進行任何的迭代，包括Bug修複，之前胖哥已經提醒該項目即將停止維護，有心的同學已經進行了遷移。

2020年就已經宣佈了EOL時間表

項目文檔和代碼倉庫被移除

目前該項目的官方文檔已經正式從spring.io移除，文檔已經指向404，這是連文檔也沒有了。新增了OAuth2授權伺服器Spring Authorization Server的文檔。

不僅僅文檔被移除，連項目的倉庫也被遷移到Spring的過期項目倉庫spring-attic並被標記為read-only。

Spring Security OAuth倉庫已經遷移

Spring Security OAuth的Spring Boot自動配置代碼倉庫也一併被遷移，也就是說Spring Boot相關的自動配置也被移除。

Spring Security OAuth2 Boot倉庫被遷移

從這種情況看來大約Spring Security OAuth的確是死了。難道就沒有可用的了嗎？當然不是。

遷移指南

這是胖哥總結的遷移指南。

依賴項檢查

那麼如何檢查你的項目是否用了舊的OAuth2設施呢？當然是對依賴進行檢查。以下清單中的依賴任何版本的都是過期的，都需要遷移：

        <dependency>		
                <groupId>org.springframework.security.oauth</groupId>
                <artifactId>spring-security-oauth-parent</artifactId>
        </dependency>
        <dependency>		
                <groupId>org.springframework.security.oauth</groupId>
                <artifactId>spring-security-oauth</artifactId>
        </dependency>
        <dependency>		
                <groupId>org.springframework.security.oauth</groupId>
                <artifactId>spring-security-oauth2</artifactId>
        </dependency>
        <dependency>
		 	<groupId>org.springframework.security</groupId>
	        <artifactId>spring-security-jwt</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security.oauth.boot</groupId>
            <artifactId>spring-security-oauth2-autoconfigure</artifactId>
        </dependency>

你可以通過mvn dependency:tree來檢查依賴樹是否集成了上述依賴項。

新的OAuth2替代方案

需要開發者掌握OAuth2.0、OAuth2.1、OIDC 1.0的一些知識。

Spring Security 5中集成了OAuth2 Client和Resource Server兩個模塊。如果有遷移的需要，建議遷移至最新的Spring Security 5.7.x，方便向Spring 6過渡。以Spring Boot為例，首先要集成Spring Security：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

這裡建議使用最新版本，目前是2.7。

集成OAuth2 Client依賴

OAuth2 Client依賴於Spring Security，不能單獨使用：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-client</artifactId>
        </dependency>

集成Resource Server依賴

Resource Server同樣也依賴於Spring Security，不能單獨使用：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
        </dependency>

集成OAuth2授權伺服器依賴

目前Spring生態中的OAuth2授權伺服器是Spring Authorization Server，目前已具備生產就緒能力。在最新的0.3.0版本中，官方文檔正式在spring.io上線，需要你知道的是它必須在Java 11及以上版本才能使用。它也作為一個Spring Security子模塊，不能單獨使用：

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-oauth2-authorization-server</artifactId>
            <version>0.3.0</version>
        </dependency>

透露一下，該項目的Spring Boot Starter也將在不久實裝。

學習指南

胖哥近幾個月一直在對新的OAuth2相關的進行系統化總結。因此你只要關註胖哥，總能獲得相關的知識和實戰乾貨分享。當然這裡胖哥也給出了一些參考的文獻：

OAuth2框架：https://oauth.net
OIDC 1.0協議：https://openid.net
Spring Security: http://felord.cn
新的Spring Security OAuth2：http://felord.cn

項目參考代碼DEMO:

Spring Security 5 學習：https://gitee.com/felord/security-learning
Spring Security OAuth2 教程：https://github.com/NotFound403/spring-security-oauth2-tutorial
授權伺服器控制台Id Server：https://github.com/NotFound403/id-server
登錄擴展插件：https://github.com/NotFound403/spring-security-login-extension

總結

舊的Spring Security OAuth過期，其實也不必恐慌，除非你們在這一方面的架構需要繼續迭代。不過隨著新的方案面世，舊方案的可維護性會大大降低，有條件的還是要遷移一下的。Spring Cloud也將會在未來某個時間點做出一些調整以適應新的架構。請持續關註，後面會及時帶來相關的消息。

關註公眾號：Felordcn 獲取更多資訊

個人博客：https://felord.cn

博主：碼農小胖哥
出處：felord.cn
本文版權歸原作者所有，不可商用，轉載需要聲明出處，否則保留追究法律責任的權利。如果文中有什麼錯誤，歡迎指出。以免更多的人被誤導。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

【FAQ】接入華為帳號服務過程中常見問題總結

華為帳號服務（Account Kit）為開發者提供簡單、安全的登錄授權功能，用戶不必輸入帳號、密碼和繁瑣驗證，就可以通過華為帳號快速登錄應用，即刻使用App。這篇文章收集了開發者們集成華為帳號服務中會遇到的典型問題，並給出瞭解決方法，希望為其他遇到類似問題的開發者提供參考。 1 .redirect_ ...
iview 酸爽debug: subMenu預設選中無效的解決方法

一. 在iview中寫一個submenu <Col span="3" type="flex" v-if="showCids"> <Menu ref="menus" theme="light" active-name="0" @on-select="selectMenu" width="auto" > ...
前端性能優化之瀏覽器緩存

1.背景業務需求，需要聯動多個平臺，涉及到各平臺的模擬登錄。已知加密前明文且正常登錄。（無驗證碼要求）某平臺驗證驗證方式為.\login介面POST一串json字元串 { "account": "********", "password": "uR+dmpMdF9MRXfkBG3wQ+w==" ...
ERR_CONTENT_LENGTH_MISMATCH解決

問題描述前端頁面載入css，和js文件的時候，經常出現ERR_CONTENT_LENGTH_MISMATCH的報錯情況定位問題在單獨打開hearder中css，js的網路地址是能打開的，所以排除了最簡單的地址錯誤。前端項目是由nginx代理的，所以可以查看nginx的日誌，看看有無線索。進入 ...
管理訂單狀態，該上狀態機嗎？輕量級狀態機COLA StateMachine保姆級入門教程

前言在平常的後端項目開發中，狀態機模式的使用其實沒有大家想象中那麼常見，筆者之前由於不在電商領域工作，很少在業務代碼中用狀態機來管理各種狀態，一般都是手動get/set狀態值。去年筆者進入了電商領域從事後端開發。電商領域，狀態又多又複雜，如果仍然在業務代碼中東一塊西一塊維護狀態值，很容易陷入出了問 ...
聊聊OOP中的設計原則以及訪問者模式

一設計原則 (SOLID) 1. S - 單一職責原則（Single Responsibllity Principle） 1.1 定義一個類或者模塊只負責完成一個職責（或功能), 認為“對象應該僅具有一種單一功能”的概念, 如果一個類包含了兩個或兩個以上業務沒有關聯的功能，就被認為是職責不夠單一 ...
泛型簡介說明

來源：my.oschina.net/xiaolyuh/blog/1615639 在日常開發中有很多地方都有類似扣減庫存的操作，比如電商系統中的商品庫存，抽獎系統中的獎品庫存等。解決方案使用mysql資料庫，使用一個欄位來存儲庫存，每次扣減庫存去更新這個欄位。還是使用資料庫，但是將庫存分層多份存 ...
工具分享：清理 Markdown 中沒有引用的圖片

前言：之前，我寫筆記的工具一直都是 notion，而且沒有寫博客的習慣。但是一是由於 notion 的伺服器在國外，有時候很不穩定；二是由於 notion 的分享很不方便，把筆記分享給別人點開鏈接之後還要先登錄才能查看內容。於是我又在掘金平臺寫了幾篇隨筆，但是掘金的文章無法通過本地 Markd ...