Was ist der Ersatz für den veralteten AuthorizationServer in Spring Security?

12

Spring Security 5.2.2 hat das Spring Security OAuth-Projekt integriert, jedoch nicht AuthorizationServer oder ResourceServer. Was sind die Ersetzungen für AuthorizationServer in Spring Security 5.2.2?

OAuth-2.0-Migrationshandbuch

Dieses Dokument enthält Anleitungen zum Verschieben von OAuth 2.0-Clients und -Ressourcenservern von Spring Security OAuth 2.x nach Spring Security 5.2.x. Da Spring Security keine Authorization Server-Unterstützung bietet, ist die Migration eines Spring Security OAuth Authorization Servers für dieses Dokument nicht zulässig.

Frühlingsabwertung

Chloe
quelle

Antworten:

13

Als erstes ist zu beachten, dass Spring Security OAuth 2.4.0 alle Klassen offiziell ablehnt .

Die zweite Sache ist, dass laut Spring Security - OAuth 2.0 Features Matrix - FAQ :

Wir planen nicht mehr, Spring Security um Authorization Server-Unterstützung zu erweitern.

Eine Lösung besteht darin, einen OAuth2-Autorisierungsserver wie Gluu oder Keycloak zu verwenden . Abhängig von Ihrer Verwendung und dem Grad der Anpassung, den Sie an Ihrem Autorisierungsserver vorgenommen haben, ist dies jedoch sicherlich nicht einfach.

Aufgrund von Protesten der Spring-Community besteht auch die Hoffnung, dass ein Autorisierungsserver weiterhin in Spring Security implementiert wird. Laut Josh Cummings auf Github :

Wir möchten uns bei allen für Ihr Feedback zu der Entscheidung bedanken, Authorization Server nicht zu unterstützen. Aufgrund dieses Feedbacks und einiger interner Diskussionen werfen wir einen weiteren Blick auf diese Entscheidung. Wir werden die Community über alle Fortschritte informieren.

Siehe auch: https://spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update

== Update 5. März 2020 ==

Um die Frage von Joseph zu beantworten: "Gibt es ein Problem, wenn wir es weiterhin verwenden?": Derzeit gibt es keine spezifischen Probleme. Spring Security OAuth wird weiterhin beibehalten, dies wird jedoch wahrscheinlich in naher Zukunft nicht der Fall sein. Unter Berufung auf den gleichen Blog-Beitrag wie oben :

Die 2.3.x-Linie wird im März 2020 EOL erreichen. Wir werden die 2.4.x-Linie mindestens ein Jahr nach Erreichen der Feature-Parität unterstützen.

Zu diesem Zweck empfehlen wir Benutzern mit der Veröffentlichung von Spring Security 5.2 nachdrücklich, ihre alten OAuth 2.0-Client- und Ressourcenserveranwendungen auf die neue Unterstützung in Spring Security 5.2 zu migrieren.

== Update 15. April 2020 ==

Ein brandneuer Spring Authorization Server wird angekündigt . Sie finden es auf Github .

Ortomala Lokni
quelle
Gibt es ein Problem, wenn wir es weiterhin verwenden?
Joseph
1
@ Joseph Siehe meine aktualisierte Antwort.
Ortomala Lokni