在 Spring Security 6.2 和 6.3 中，我们一直在努力改进使用 OAuth2 Client 的应用程序的配置。通过允许应用程序发布在应用程序启动期间自动包含在整体 OAuth2 Client 配置中的 bean，简化了常见用例的配置。最近的改进包括：

• 只需发布 `OAuth2AuthorizedClientProvider`（或 `ReactiveOAuth2AuthorizedClientProvider`）类型的 bean，即可启用扩展授权类型。
• 只需发布一个或多个 `OAuth2AccessTokenResponseClient`（或 `ReactiveOAuth2AccessTokenResponseClient`）类型的 bean，即可使用自定义参数扩展 OAuth 2.0 访问令牌请求。
• 如果尚未发布 `OAuth2AuthorizedClientManager`（或 `ReactiveOAuth2AuthorizedClientManager`）类型的 bean，Spring Security 会自动发布一个，当应用程序需要获取访问令牌时，需要更少的样板配置。
…

代表团队和所有贡献者，我很高兴地宣布 Spring Security 6.3.4、6.2.7 和 5.8.15 现已可用。在所有情况下，这些发行版主要包含错误修复、依赖项升级和文档改进。

要了解更多信息，请访问 6.3.4、6.2.7 和 5.8.15 发行版摘要。

项目站点 | 参考 | 帮助

代表团队和所有贡献者，我很高兴地宣布 Spring Security 6.4 的第一个候选版本现已可用。

此版本带来了一些引人注目的功能，包括：

• 支持密码密钥
• 支持使用 `RestClient` 发出访问令牌请求
• 改进了使用 `WebClient` 发出访问令牌请求的支持
• 支持根据提供的配置构建 `ClientRegistration`
• `AuthorizationManager` 现在返回 `AuthorizationResult`
• `AuthorizationEventPublisher` 现在接受 `AuthorizationResult`
• 支持通过 SpEL 表达式提取嵌套权限
• 安全观察结果现在可以选择
…

代表团队和所有贡献者，我很高兴地宣布 Spring Authorization Server 1.3.0-M3 发布！Spring Authorization Server 的里程碑式版本包含一些值得注意的新功能：

• 添加 PKI 互联 TLS 客户端身份验证方法（`tls_client_auth`） #1558
• 实现 OAuth 2.0 令牌交换 #1525（参见相关的 博客文章）

查看 1.3.0-M3 发行说明以了解完整详情。

要开始使用 Spring Authorization Server，请参阅参考文档的 入门 章节和 示例 以熟悉设置和配置…

我很高兴地分享，Spring Security 6.3 将支持 OAuth 2.0 令牌交换授权（RFC 8693），目前在最新的里程碑版本（6.3.0-M3）中可以预览。此支持提供了使用 OAuth2 Client 进行令牌交换的能力。类似地，服务器端支持也随 Spring Authorization Server 1.3 一起发布，目前在最新的里程碑版本（1.3.0-M3）中可以预览。

Spring Security 的 OAuth2 Client 功能使我们能够轻松地向使用 OAuth2 承载令牌保护的 API 发出受保护的资源请求。类似地，OAuth2 资源服务器…

代表团队和所有贡献者，我很高兴地宣布 Spring Security `5.8.8`、`6.0.8`、`6.1.5` 和 `6.2.0-RC2` 版本现已可用。

请参阅 发行版页面 以了解每个发行版中包含内容的更多详细信息。特别是，您可以查看构成 `6.2.0` 发行版的每个里程碑的发行说明（`6.2.0-M1`、`6.2.0-M2`、`6.2.0-M3`、`6.2.0-RC1`、`6.2.0-RC2`），下个月发布。

我们鼓励您试用最新的候选版本并提供您的任何反馈！6.2 候选版本中的一些显著更改包括：

• 添加 `with()` 方法以应用 SecurityConfigurerAdapter #13432
• 如果存在 CorsConfigurationSource bean，则自动启用 `.cors()` #5011
• 简化 OAuth2 Client 组件模型的配置 #13587（博客文章、文档）
• 添加 OIDC 后端注销支持 #7845（文档）
• 虚拟线程的测试覆盖率 #12790、#12791
• 向 AuthorizeHttpRequests 添加 servlet 模式支持 #13857（文档）
…

在 Spring Security 5 中，我们看到了 OAuth2 领域的发展，OAuth2 资源服务器和 OAuth2 Client 引入框架。

今天，使用 OAuth2 资源服务器中提供的功能开发由 OAuth2 保护的应用程序非常方便。此外，我们可以利用 OAuth2 Client 功能与 OAuth 2.0 和 OpenID Connect 1.0 提供程序集成，从而可以使用 OAuth2 登录进行用户身份验证和/或向由 OAuth2 保护的应用程序发出受保护的请求。

但是，OAuth2 环境非常复杂，定制…

今天，我很高兴地宣布您拥有了一种新的超能力：在 Spring Initializr 上创建使用 Spring Authorization Server 的应用程序！

没错，现在是开始您的 OAuth2 之旅并成为您一直以来的英雄的时候了！在这篇文章中，我将解释如何充分利用您的新超能力以及去哪里了解更多信息。

什么是 Spring Authorization Server？

Spring Authorization Server 是一个基于 Spring Security 构建的开源框架，允许您创建自己的基于标准的 OAuth2 授权服务器或 OpenID Connect 提供程序。它实现了…

代表团队和所有贡献者，我们非常高兴地宣布 Spring Security 6.1 正式发布！

除了错误修复和依赖项升级之外，6.1 版本还带来了许多新功能，包括：

• `AuthorizationManager` 增强功能

• OAuth2 增强功能

• SAML2 增强功能

• `RequestMatcher` 增强功能

• 更新的文档页面和导航改进

查看 Spring Security 6.1 的新增功能 以了解新功能的完整列表。

您还可以查看 6.1.0-M1、6.1.0-M2、6.1.0-RC1 和 6.1.0 的发行说明以深入了解。

…

代表团队和所有贡献者，我很高兴地宣布 Spring Authorization Server 1.1.0-M2 正式发布。

此版本提供的的主要功能是对 OAuth 2.0 设备授权授权的支持（gh-1106）。

查看 发行说明 以了解完整详情。

要开始使用 Spring Authorization Server，请参阅参考文档的入门章节和示例，以便熟悉设置和配置。

项目页面 | GitHub 问题 | ZenHub 看板