Quel est le remplacement du serveur d'autorisation obsolète dans Spring Security?


12

Spring Security 5.2.2 a incorporé le projet Spring Security OAuth, mais pas AuthorizationServer ou ResourceServer. Quels sont les remplacements de AuthorizationServer dans Spring Security 5.2.2?

Guide de migration OAuth-2.0

Ce document contient des conseils pour déplacer les clients et les serveurs de ressources OAuth 2.0 de Spring Security OAuth 2.x vers Spring Security 5.2.x. Étant donné que Spring Security ne prend pas en charge le serveur d'autorisation, la migration d'un serveur d'autorisations Spring Security OAuth est hors de portée pour ce document.

dépréciation de printemps

Réponses:


13

La première chose à noter est que Spring Security OAuth 2.4.0 déprécie officiellement toutes ses classes .

La deuxième chose est que, selon la sécurité de Spring - Matrice des fonctionnalités OAuth 2.0 - FAQ :

Nous ne prévoyons plus d'ajouter la prise en charge du serveur d'autorisation à Spring Security.

Une solution consiste à utiliser un serveur d'autorisation OAuth2 tel que Gluu ou Keycloak , mais en fonction de votre utilisation et du degré de personnalisation que vous avez effectué dans votre serveur d'autorisation, ce n'est certainement pas simple.

En raison des protestations de la communauté Spring, il y a aussi de l'espoir qu'un serveur d'autorisation sera toujours implémenté dans Spring Security. Selon Josh Cummings sur Github :

Nous remercions tout le monde pour vos commentaires sur la décision de ne pas prendre en charge le serveur d'autorisation. En raison de ces commentaires et de certaines discussions internes, nous revoyons cette décision. Nous informerons la communauté de tout progrès.

Voir aussi: https://spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update

== Mise à jour 5 mars 2020 ==

Pour répondre à la question de Joseph: "Un problème si nous continuons à l'utiliser?": Pour l'instant, aucun problème spécifique, Spring Security OAuth est toujours maintenu mais ce ne sera probablement pas le cas dans un futur proche. Citant le même article de blog que ci - dessus :

La ligne 2.3.x atteindra EOL en mars 2020. Nous prendrons en charge la ligne 2.4.x au moins un an après avoir atteint la parité des fonctionnalités.

À cette fin, avec la sortie de Spring Security 5.2, nous encourageons fortement les utilisateurs à commencer à migrer leurs applications clientes et serveur de ressources OAuth 2.0 héritées vers la nouvelle prise en charge de Spring Security 5.2.

== Mise à jour du 15 avril 2020 ==

Un tout nouveau serveur d'autorisations Spring est annoncé . Vous pouvez le trouver sur Github .


un problème si nous continuons à l'utiliser?
Joseph

1
@Joseph Voir ma réponse mise à jour.
Ortomala Lokni
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.