旧的Spring Security OAuth彻底停止维护,连文档仓库都没了

Spring Security团队正式宣布Spring Security OAuth终止维护,到达生命的终点。

3f9e2539965c722aa96d2eb41ed1828a.png

图片

目前官网的主页已经高亮提醒彻底停止维护。

b3e22a9f5054be64ef292b4cd566ac1b.png
图片

旧的Spring Security OAuth项目终止到2.5.2.RELEASE版本,该项目将不会再进行任何的迭代,包括Bug修复,之前胖哥已经提醒该项目即将停止维护,有心的同学已经进行了迁移。

8d27ec1f3f51c0be9cfcea52f1932553.png

2020年就已经宣布了EOL时间表

项目文档和代码仓库被移除

目前该项目的官方文档已经正式从spring.io移除,文档已经指向404,这连文档也没有了。新增了OAuth2授权服务器Spring Authorization Server的文档。

85d29f2b37721d45817db3e4f4059b0f.png
图片

不仅仅文档被移除,连项目的仓库也被迁移到Spring的过期项目仓库spring-attic并被标记为read-only

1bfb63e2602c15e322176434b8b0dd7f.pngSpring Security OAuth仓库已经迁移

Spring Security OAuthSpring Boot自动配置代码仓库也一并被迁移,也就是说Spring Boot相关的自动配置也被移除。

a7a576c0307526b9461ede0253421975.pngSpring Security OAuth2 Boot仓库被迁移

从这种情况看来大约Spring Security OAuth的确是死了。难道就没有可用的了吗?当然不是。

迁移指南

这是胖哥总结的迁移指南。

依赖项检查

那么如何检查你的项目是否用了旧的OAuth2设施呢?当然是对依赖进行检查。以下清单中的依赖任何版本的都是过期的,都需要迁移:

<dependency>  
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth-parent</artifactId>
</dependency>
<dependency>  
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth</artifactId>
  </dependency>
<dependency>  
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
  <groupId>org.springframework.security.oauth.boot</groupId>
  <artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>

你可以通过mvn dependency:tree来检查依赖树是否集成了上述依赖项。

新的OAuth2替代方案

需要开发者掌握OAuth2.0OAuth2.1OIDC 1.0的一些知识。

Spring Security 5中集成了OAuth2 ClientResource Server两个模块。如果有迁移的需要,建议迁移至最新的Spring Security 5.7.x,方便向Spring 6过渡。以Spring Boot为例,首先要集成Spring Security

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

❝这里建议使用最新版本,目前是2.7。

集成OAuth2 Client依赖

OAuth2 Client依赖于Spring Security,不能单独使用:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
集成Resource Server依赖

Resource Server同样也依赖于Spring Security,不能单独使用:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
集成OAuth2授权服务器依赖

目前Spring生态中的OAuth2授权服务器是Spring Authorization Server,目前已具备生产就绪能力。在最新的0.3.0版本中,官方文档正式在spring.io上线,需要你知道的是它必须在Java 11及以上版本才能使用。它也作为一个Spring Security子模块,不能单独使用:

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-oauth2-authorization-server</artifactId>
  <version>0.3.0</version>
</dependency>

透露一下,该项目的Spring Boot Starter也将在不久实装。

学习指南

胖哥近几个月一直在对新的OAuth2相关的进行系统化总结。因此你只要关注胖哥,总能获得相关的知识和实战干货分享。当然这里胖哥也给出了一些参考的文献:

  • OAuth2框架:https://oauth.net

  • OIDC 1.0协议:https://openid.net

  • Spring Security: Spring 官方文档或者胖哥公众号回复 2021开工福利2022开工福利

  • 新的Spring Security OAuth2:http://felord.cn

  • OAuth2系列教程、源码解读:https://blog.csdn.net/qq_35067322/category_11691173.html

项目参考DEMO:

  • Spring Security 5 学习:https://gitee.com/felord/security-learning

  • Spring Security OAuth2 教程:https://github.com/NotFound403/spring-security-oauth2-tutorial

  • 授权服务器控制台Id Server:https://github.com/NotFound403/id-server

  • 登录扩展插件:https://github.com/NotFound403/spring-security-login-extension

总结

旧的Spring Security OAuth过期,其实也不必恐慌,除非你们在这一方面的架构需要继续迭代。不过随着新的方案面世,旧方案的可维护性会大大降低,有条件的还是要迁移一下的。Spring Cloud也将会在未来某个时间点做出一些调整以适应新的架构。请持续关注,后面会及时带来相关的消息。

我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。另外,如果你最近想跳槽的话,年前我花了2周时间收集了一波大厂面经,节后准备跳槽的可以点击这里领取

推荐阅读

··································

你好,我是程序猿DD,10年开发老司机、阿里云MVP、腾讯云TVP、出过书创过业、国企4年互联网6年。从普通开发到架构师、再到合伙人。一路过来,给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来,多思考、少抱怨、勤动手,就很容易实现弯道超车!所以,不要问我现在干什么是否来得及。如果你看好一个事情,一定是坚持了才能看到希望,而不是看到希望才去坚持。相信我,只要坚持下来,你一定比现在更好!如果你还没什么方向,可以先关注我,这里会经常分享一些前沿资讯,帮你积累弯道超车的资本。

点击领取2022最新10000T学习资料

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值