Spring宣布舊的Spring Security OAuth徹底停止維護,連文檔倉庫都沒了
?Spring Security團隊正式宣布Spring Security OAuth終止維護,到達生命的終點。
目前官網的主頁已經高亮提醒徹底停止維護。
舊的Spring Security OAuth項目終止到2.5.2.RELEASE版本,該項目將不會再進行任何的迭代,包括Bug修復,之前胖哥已經提醒該項目即將停止維護,有心的同學已經進行了遷移。
2020年就已經宣布了EOL時間表
項目文檔和代碼倉庫被移除
目前該項目的官方文檔已經正式從spring.io移除,文檔已經指向404,這連文檔也沒有了。新增了OAuth2授權服務器Spring Authorization Server的文檔。
不僅僅文檔被移除,連項目的倉庫也被遷移到Spring的過期項目倉庫spring-attic并被標記為read-only。
Spring Security OAuth倉庫已經遷移
Spring Security OAuth的Spring Boot自動配置代碼倉庫也一并被遷移,也就是說Spring Boot相關的自動配置也被移除。
Spring Security OAuth2 Boot倉庫被遷移
從這種情況看來大約Spring Security OAuth的確是死了。難道就沒有可用的了嗎?當然不是。
遷移指南
這是胖哥總結的遷移指南。
依賴項檢查
那么如何檢查你的項目是否用了舊的OAuth2設施呢?當然是對依賴進行檢查。以下清單中的依賴任何版本的都是過期的,都需要遷移:
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth-parent</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth.boot</groupId>
<artifactId>spring-security-oauth2-autoconfigure</artifactId>
</dependency>
你可以通過mvn dependency:tree來檢查依賴樹是否集成了上述依賴項。
新的OAuth2替代方案
需要開發者掌握OAuth2.0、OAuth2.1、OIDC 1.0的一些知識。
Spring Security 5中集成了OAuth2 Client和Resource Server兩個模塊。如果有遷移的需要,建議遷移至最新的Spring Security 5.7.x,方便向Spring 6過渡。以Spring Boot為例,首先要集成Spring Security:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
?這里建議使用最新版本,目前是2.7。
集成OAuth2 Client依賴
OAuth2 Client依賴于Spring Security,不能單獨使用:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
集成Resource Server依賴
Resource Server同樣也依賴于Spring Security,不能單獨使用:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
集成OAuth2授權服務器依賴
目前Spring生態中的OAuth2授權服務器是Spring Authorization Server,目前已具備生產就緒能力。在最新的0.3.0版本中,官方文檔正式在spring.io上線,需要你知道的是它必須在Java 11及以上版本才能使用。它也作為一個Spring Security子模塊,不能單獨使用:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-authorization-server</artifactId>
<version>0.3.0</version>
</dependency>
總結
舊的Spring Security OAuth過期,其實也不必恐慌,除非你們在這一方面的架構需要繼續迭代。不過隨著新的方案面世,舊方案的可維護性會大大降低,有條件的還是要遷移一下的。Spring Cloud也將會在未來某個時間點做出一些調整以適應新的架構。
