Spring Securityで廃止されたAuthorizationServerに代わるものは何ですか?
Spring Security 5.2.2にはSpring Security OAuthプロジェクトが組み込まれていますが、AuthorizationServerやResourceServerは組み込まれていません。SpringSecurity 5.2.2のAuthorizationServerに代わるものは何ですか?
このドキュメントには、OAuth 2.0クライアントとリソースサーバーをSpring SecurityからOAuth 2.xからSpring Security 5.2.xに移行するためのガイダンスが含まれています。SpringSecurityは承認サーバーのサポートを提供し、Spring Securityを移行するOAuth承認サーバーはこのドキュメントの範囲外です。
最初に注意すべきことは、Spring Security OAuth 2.4.0 正式にそのすべてのクラスを非推奨にする です。
2つ目は、 Spring Security-OAuth 2.0 Features Matrix-FAQ によると、
Spring SecurityにAuthorization Serverサポートを追加する予定はありません。
1つの解決策は、 Gl や Keycloak などのOAuth2承認サーバーを使用することですが、使用法や承認サーバーで行ったカスタマイズの程度によっては、これは確かに簡単ではありません。
Springコミュニティの抗議により、承認サーバーがSpring Securityに実装されることも期待されています。 GithubのJosh Cummings によると:
Authorization Serverをサポートしないという決定についてのフィードバックを提供してくださった皆さんに感謝します。このフィードバックといくつかの社内での議論により、この決定を再検討しています。進捗状況をコミュニティに通知します。
参照: https://spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update
==更新==
ジョセフの質問に答えるために:「それを使い続ければ何か問題はありますか?」:今のところ、特定の問題はありません。SpringSecurity OAuth=はまだ維持されていますが、これはおそらく当てはまらないでしょう近い将来。 上記と同じブログ記事 :
2.3.xラインは、2020年3月にEOLに到達します。2.4.xラインは、機能の同等性に到達してから少なくとも1年後にサポートされます。
そのため、Spring Security 5.2のリリースでは、レガシーのOAuth 2.0クライアントおよびリソースサーバーアプリケーションをSpring Security 5.2の新しいサポートに移行することをユーザーに強く推奨しています。