spring 开发团队宣布发布授权服务器项目: announcing-the-spring-authorization-server, 代码已经在github 开源
成功的基础
故事很长,但简而言之:没有我们哦妹子ing的社区,spring 就没有今天这个样子。
差不多十年前,我们带来了一个社区驱动的开源项目,spring security oauth,并使其成为spring项目的一部分。自成立以来,它已发展成为一个成熟的项目,支持 OAuth 规范的很大一部分,包括资源服务器、客户端、登录和授权服务器。理所当然它已成为UAA坚强的基础,除此之外,它充当 Cloud Foundry的身份管理服务。spring security OAuth项目已成为一个示范项目,证明了我们的社区可以完成如此强大的项目成功。
以社区成功为基础
自项目启动以来,OAuth 世界有了显著的发展。因此,我们决定在作为一个社区的成功基础上再接再励,重写spring security oauth更好地看齐 Spring 的 OAuth体系,简化代码库,并使 Spring 的 OAuth 支持更加灵活。
首先,最初的OAuth支持很早就完成了,不可能预料到需要用它的所有不同方式。这促使许多spring项目提供自己的OAuth支持。通过重写,我们能够满足整个 Spring 产品线的需求,并提供一个单一的内聚 OAuth 库。
其次,当 OAuth 项目最初编写时,它包括对 OAuth 1.0 和 OAuth 2.0 的支持。从那时起,OAuth 2.0正式 取代了过时的OAuth 1.0.因此,新的支持可以只关注 OAuth 2.0,这大大简化了代码。
第三,原项目提供了它所有的类库支持。现在,有许多库可供选择,我们能够通过提供围绕名为 Nimbus 的现有库的抽象来将其整合到 Spring Security 中。通过在 Nimbus 之上构建,我们能够更快地移动并添加更多功能,例如更好地支持 JWT 声明、OIDC、无代码编程等等。
令人印象深刻的是,社区如何继续巩固过去的成功。
向社区学习
显然,重写spring security OAuth是一个庞大复杂的工作任务。首先,团队决定将项目拆分为客户端、资源服务器和授权服务器。随着客户端和资源服务器的发展,我们越来越确信不应提供授权服务器支持。
自创建 Spring Security OAuth 项目以来,授权服务器选择的数量显著增加。此外,我们不认为创建授权服务器是通用方案。我们也不觉得在没有类库支持的框架内提供授权支持是合适的。经过仔细考虑,spring security小组决定,我们将不支持创建授权服务器.
自从我们的博客文章发布以来,社区的反馈,我们听了。从博客上的反馈、Gitter 中的闲聊和 GitHub 中的评论中,我们获得一致的消息:Spring 生态系统需要支持授权服务器。
今后的计划
直到这一刻, 提升授权服务器只是一个想法。现在,我们希望正式引入 Spring 授权服务器,作为由Spring 安全团队领导的社区驱动项目。
该项目将作为一个独立项目在Spring的试点项目中启动,以便它能够更快地发展。在您的帮助下,这个项目的发展方式与最初的Spring security OAuth 项目相同。
参与
我们很乐意让您加入我们的旅程。如果您想参与,请阅读贡献文档。我们迫不及待地想听到你的来信,一如既往,感谢您成为Spring 社区的一员!
閱讀更多 鋒哥愛學習 的文章
