Spring|Spring Authorization Server 0.2.3发布,放出联合身份DEMO
很快啊Spring Authorization Server又发新版本了,现在的版本是0.2.3。本次都有什么改动呢?我们来了解一下。
0.2.3版本特性
本次更新的新特性不少。
为公开客户端提供默认的设置
根据RFC6479,包含授权码(authorization_code
)授权并且客户端认证方式ClientAuthenticationMethod
只有一种,为none
的客户端都是公开(Public)客户端,反之就是机密(Confidential)客户端。
在0.2.3中,为公开的客户端提供了客户端默认配置ClientSettings
。
if (this.clientSettings == null) {
ClientSettings.Builder builder = ClientSettings.builder();
if (isPublicClientType()) {
// @formatter:off
builder
.requireProofKey(true)
.requireAuthorizationConsent(true);
// @formatter:on
}
this.clientSettings = builder.build();
}
【Spring|Spring Authorization Server 0.2.3发布,放出联合身份DEMO】这里多说点,公开客户端现在不单纯是
authorization_code
模式授权,必须加上PKCE。OAuth2ClientAuthenticationProvider被细分
Spring Authorization Server目前支持的客户端认证方式有:
client_secret_basic
client_secret_post
client_secret_jwt
private_key_jwt
none
OAuth2ClientAuthenticationProvider
一手包办,现在职责分离了。JwtClientAssertionAuthenticationProvider 负责
private_key_jwt
和client_secret_jwt
,具体细节请关注我的专栏。目前胖哥已经实现了完整的
private_key_jwt
认证的DEMO。ClientSecretAuthenticationProvider 默认的
client_secret_basic
和client_secret_post
由它负责。PublicClientAuthenticationProvider 处理上面所说的公开客户端的认证方式。
InMemoryOAuth2AuthorizationService优化
主要优化了对未完成授权信息
OAuth2Authorization
存储的淘汰策略,如果内存中存储的数量超过100
,会把最老存储的信息淘汰掉。增加了联合身份的DEMO
Federated Identity Pattern (联合身份模式)举个例子,你同时对接了好几个身份提供商(IDP),你都需要跳不同的授权服务器页面并输入对应的密码,现在这些IDP可以都放在Spring Authorization Server下面,委托给Spring Authorization Server来处理身份认证授权。这样你不用跳来跳去了,只需要维护Spring Authorization Server中IDP的关系了。
请注意该功能不是Spring Authorization Server本身自带的功能。OAuth2TokenGenerator
0.2.3抽象了
OAuth2Token
的的生成模型:@FunctionalInterface
public interface OAuth2TokenGenerator {
@Nullable
T generate(OAuth2TokenContext context);
}
OAuth2授权码使用统一的Token生成模型 授权码授权中的
code
的生成现在也需要由OAuth2TokenGenerator
实现,实现类为OAuth2AuthorizationCodeGenerator
。OAuth2刷新Token使用统一的Token生成模型 OAuth2刷新令牌
OAuth2RefreshToken
现在同样需要由OAuth2TokenGenerator
实现。JWT的生成使用统一的模型 现在JWT的生成也由
OAuth2TokenGenerator
来实现,具体的实现类为JwtGenerator
。支持不透明令牌 现在你可以自定义一个
OAuth2TokenGenerator
并注入到Spring IoC来实现自定义的令牌生成逻辑,这意味着不透明令牌也可以通过自定义来实现。令牌自省过滤器配置现在可以自定义
0.2.3版本之前令牌自省的配置由
OAuth2AuthorizationServerConfigurer
负责,现在它由独立的配置类OAuth2TokenIntrospectionEndpointConfigurer
负责。依赖升级 0.2.3也对部分的依赖进行了升级,具体为:
- 更新到Reactor 2020.0.16
- 更新到Spring Security 5.5.5
- 更新到Spring Framework 5.3.16
- 更新到Spring Boot 2.5.10
胖哥也将跟进变化,对依赖进行逐步升级。
关注公众号:Felordcn 获取更多资讯
个人博客:https://felord.cn
推荐阅读
- Spring Authorization Server 0.2.3发布,放出联合身份DEMO
- Spring|Spring Cloud Function 3.0.0.RELEASE~3.2.2版本SPEL 表达式注入
- 玩转SpringBoot之定时任务@Scheduled线程池配置
- spring|spring @value无法取值多个properties文件的解决
- Linux系统通过Docker安装SQL|Linux系统通过Docker安装SQL Server数据库
- java|springcloud-alibaba springSecurity整合oauth2 授权码模式
- JAVA|Spring boot 提示“Whitelabel Error Page”
- Spring|Spring Boot整合dubbo+Nacos实战(二)
- SpringSecurity-OAuth2.0
- Spring|22-Spring Authorization Server初体验