注意

请参阅关于Spring Authorization Server 发布公告的最新公告。此文章是对使用 Spring Security 的下一代 OAuth 2.0 支持的后续文章。

当前状态

在 Spring Security 5.x 版本系列中，我们努力替换和简化了在Spring Security OAuth 2.x 遗留项目中找到的功能集。在此过程中，我们还添加了许多新功能，包括对 OpenID Connect 1.0 的支持。

我们很高兴地宣布，从 5.2 版本开始，我们已经非常接近于与客户端和资源服务器遗留支持实现功能一致。剩下的部分非常少，我们完全预计会在 5.3 版本中宣布功能一致性。

我们要特别感谢社区中所有将 Spring Security 发展到今天的人们！我们希望将来能看到更多来自每个人的贡献。

不支持授权服务器

2012年10月发布了RFC 6749，即OAuth 2.0授权框架。随后，2014年5月，Spring Security OAuth发布了其2.0.0版本，支持授权服务器、资源服务器和客户端。在没有OAuth 2.0库和产品的情况下，这样做非常有意义。

Spring Security的授权服务器支持从来都不是一个好主意。授权服务器需要一个库来构建产品。Spring Security作为一个框架，并不负责构建库或产品。例如，我们没有JWT库，而是使Nimbus易于使用。我们也不维护自己的SAML IdP、CAS或LDAP产品。

在2019年，有许多商业和开源授权服务器可用。因此，Spring Security团队决定不再提供对授权服务器的支持。

更新：我们要感谢大家对不提供授权服务器支持这一决定的反馈。由于这些反馈和一些内部讨论，我们正在重新审视这一决定。我们将通知社区任何进展。

Spring Security OAuth 2.x 的支持生命周期

在2018年初，我们宣布Spring Security OAuth项目正式进入维护模式。我们已经停止了对2.0.x的支持，这与Boot的1.x生命周期结束（EOL）一致，以及2.1.x和2.2.x。我们的计划是在不久的将来停止其余的支持。

当前支持的分支是2.3.x和2.4.x。2.3.x系列将在2020年3月达到EOL。在达到功能一致性后，我们将至少支持2.4.x系列一年。

为此，随着Spring Security 5.2的发布，我们强烈建议用户开始将他们遗留的OAuth 2.0客户端和资源服务器应用程序迁移到Spring Security 5.2中的新支持。

接下来

我们希望您能继续与我们一起踏上这段激动人心的旅程，使 OAuth 2.0 更易于在您的 Java 应用程序中使用。请花一点时间查看我们目前为 5.3 版本计划的内容。我们希望您能继续提供反馈，并希望能贡献一两个！