在 Spring Security 6.2 和 6.3 版本中，我们一直致力于稳步改进使用 OAuth2 Client 的应用程序配置。通过允许应用程序发布在应用启动时自动包含在整体 OAuth2 Client 配置中的 bean，简化了常见用例的配置。最近的改进包括：

• 只需发布一个 OAuth2AuthorizedClientProvider (或 ReactiveOAuth2AuthorizedClientProvider) 类型的 bean，即可启用扩展授权类型
• 只需发布一个或多个 OAuth2AccessTokenResponseClient (或 ReactiveOAuth2AccessTokenResponseClient) 类型的 bean，即可使用自定义参数扩展 OAuth 2.0 访问令牌请求
• 如果尚未发布，Spring Security 会自动发布一个 OAuth2AuthorizedClientManager (或 ReactiveOAuth2AuthorizedClientManager) 类型的 bean，从而在应用程序需要获取访问令牌时减少了样板配置
…

我谨代表团队和所有贡献者宣布，Spring Security 6.3.4、6.2.7 和 5.8.15 版本现已发布。所有这些版本主要包括 bug 修复、依赖升级和文档改进。

要了解更多信息，请访问 6.3.4、6.2.7 和 5.8.15 的发布摘要。

项目网站 | 参考手册 | 帮助

我谨代表团队和所有贡献者宣布，Spring Security 6.4 的第一个发布候选版本现已可用。

此版本带来了几个引人注目的特性，包括：

• 支持 Passkeys
• 支持使用 RestClient 发起访问令牌请求
• 改进了使用 WebClient 发起访问令牌请求的支持
• 支持根据提供的配置构建 ClientRegistration
• AuthorizationManager 现在返回一个 AuthorizationResult
• AuthorizationEventPublisher 现在接受一个 AuthorizationResult
• 支持通过 SpEL 表达式提取嵌套权限
• 安全观察现在可选择
…

我谨代表团队和所有贡献者，很高兴宣布 Spring Authorization Server 1.3.0-M3 版本发布！Spring Authorization Server 的里程碑版本包含了一些值得注意的新特性：

• 添加 PKI Mutual-TLS 客户端认证方法 (tls_client_auth) #1558
• 实现 OAuth 2.0 Token Exchange #1525 (参见相关博客文章)

有关完整详细信息，请参阅 1.3.0-M3 的发布说明。

要开始使用 Spring Authorization Server，请参阅参考文档中的入门章节和示例，以便熟悉设置和配置…

我很高兴地分享，Spring Security 6.3 将支持 OAuth 2.0 Token Exchange Grant (RFC 8693)，该功能目前可在最新的里程碑版本 (6.3.0-M3) 中预览。此支持提供了将 Token Exchange 与 OAuth2 Client 一起使用的能力。同样，服务器端支持也将随 Spring Authorization Server 1.3 一起发布，并且目前可在最新的里程碑版本 (1.3.0-M3) 中预览。

Spring Security 的 OAuth2 Client 特性使我们能够轻松地向使用 OAuth2 bearer token 保护的 API 发起受保护资源的请求。同样，OAuth2 Resource Server…

我谨代表团队和所有贡献者宣布，Spring Security 的 5.8.8、6.0.8、6.1.5 和 6.2.0-RC2 版本现已发布。

请参阅发布页面，了解每个版本包含的详细信息。特别是，您可以查看构成下个月发布的 6.2.0 版本 (6.2.0-M1, 6.2.0-M2, 6.2.0-M3, 6.2.0-RC1, 6.2.0-RC2) 的每个里程碑的发布说明。

我们鼓励您试用最新的发布候选版本并提供任何反馈！6.2 发布候选版本中包含一些值得注意的更改：

• 添加 with() 方法以应用 SecurityConfigurerAdapter #13432
• 如果存在 CorsConfigurationSource bean，自动启用 .cors() #5011
• 简化 OAuth2 Client 组件模型的配置 #13587 (博客文章, 文档)
• 添加 OIDC 后端通道注销支持 #7845 (文档)
• 虚拟线程的测试覆盖率 #12790, #12791
• 为 AuthorizeHttpRequests 添加 servlet 模式支持 #13857 (文档)
…

在 Spring Security 5 中，随着 OAuth2 Resource Server 和 OAuth2 Client 被引入框架，OAuth2 功能有了许多发展。

如今，使用 OAuth2 Resource Server 中提供的功能开发由 OAuth2 保护的应用程序非常方便。此外，我们可以利用 OAuth2 Client 的特性与 OAuth 2.0 和 OpenID Connect 1.0 提供商集成，从而可以通过 OAuth2 Login 认证用户和/或向由 OAuth2 保护的应用程序发起受保护的请求。

然而，OAuth2 生态系统非常复杂，并且定制化…

今天，我很高兴地宣布您拥有了一项新超能力：在 Spring Initializr 上使用 Spring Authorization Server 创建应用程序！

没错，是时候开始您的 OAuth2 之旅，成为您一直梦想成为的英雄了！在这篇文章中，我将解释如何充分利用您的新超能力以及在哪里可以学习更多。

什么是 Spring Authorization Server？

Spring Authorization Server 是一个基于 Spring Security 构建的开源框架，允许您创建自己的基于标准的 OAuth2 Authorization Server 或 OpenID Connect Provider。它实现了…

我谨代表团队和所有贡献者，非常高兴地宣布 Spring Security 6.1 正式可用！

除了 bug 修复和依赖升级之外，6.1 版本带来了许多新特性，包括：

• AuthorizationManager 增强功能

• OAuth2 增强功能

• SAML2 增强功能

• RequestMatcher 增强功能

• 更新的文档页面和导航改进

请查阅Spring Security 6.1 新特性，了解新特性的完整列表。

您也可以参阅 6.1.0-M1、6.1.0-M2、6.1.0-RC1 和 6.1.0 的发布说明，以便深入了解。

…

我谨代表团队和所有贡献者，很高兴宣布 Spring Authorization Server 1.1.0-M2 正式可用。

此版本的主要功能是支持 OAuth 2.0 Device Authorization Grant (gh-1106)。

有关完整详细信息，请参阅发布说明。

要开始使用 Spring Authorization Server，请参阅参考文档中的入门章节和示例，以便熟悉设置和配置。

项目页面 | GitHub Issues | ZenHub 面板