1. 前言
在使用 OAuth2.0 中 Authorization Server (授權伺服器)是一個迴避不了的設施,在大多數情況下我們呼叫的是一些知名的、可靠的、可信任的第三方平臺,比如 QQ、微信、微博、github 等。我們的應用只作為 Client 進行註冊接入即可。也就是說我們只需要實現 OAuth2.0 客戶端的邏輯就可以了,無須關心授權伺服器的實現。然而有時候我們依然希望構建自己的 Authorization Server。我們應該如何實現?今天不會討論具體的技術細節,來談談 OAuth2.0 的技術選型。
2. Spring Security OAuth2 現狀
在做 Spring Security 相關教程 的時候首先會考慮 Spring 提供的 OAuth2.0 功能。當我去 Spring 官網瞭解相關的類庫時發現居然 Spring 的 OAuth2.0 類庫即將過期的通知,有圖有真相:
總結以下就是 Spring Security OAuth 的模組即將過期,後續的功能已經遷移到 Spring Security 5.2.x 中,但是不會再提供 Authorization Server 的功能。 在官方宣告中還提到, 當前 Spring Security OAuth 分支是 2.3.x 和 2.4.x。2.3.x版本將於 2020 年 3 月壽命終止。我們將在達到功能均等後至少一年支援 2.4.x 版本。因此鼓勵使用者開始將其舊版 OAuth 2.0 客戶端和資源伺服器應用程式遷移到Spring Security 5.2 中的新支援。詳細參見 官方部落格.
3. 對 OAuth2.0 的技術選型
從上面的資訊看來, Spring Security 未來依然提供 OAuth2 的 客戶端支援 和 資源伺服器支援。授權伺服器 將逐漸退出 Spring Security 的生態環境。所以如果沒有授權伺服器需求的情況下選擇 Spring Security 依然是沒有問題的,一旦有這個需求我們該如何選擇?我這裡調研了幾個開源免費的專案。
3.1 keycloak
keycloak是 RedHat 公司出品。是一個致力於解決應用和服務身份驗證與訪問管理的開源工具。可以通過簡單的配置達到保護應用和服務的目的。它提供了身份和訪問管理的有用功能:
- 單點登入(SSO),身份代理和第三方登入。
- 支援 OpenID Connect,OAuth 2.0 和 SAML 2.0 等標準協議。
- 使用者集中管理。
- 客戶端介面卡,輕鬆保護應用程式和服務。
- 視覺化管理控制檯和帳戶管理控制檯。
- 可擴充套件性、高效能、快速實現落地。
文件比較完畢,而且是一個成熟的、免費的商業級產品。
3.2 Nimbus SDK
全稱是 Nimbus OAuth 2.0 / OpenID Connect SDK,這是一個類庫。Spring 官方在部落格中提到可以使用該類庫構建 Authorization Server,它同時支援 OAuth2.0 和 OpenID Connect,比較完整地實現了這兩個協議,而且針對補充協議也在積極的跟進。缺點在於中文教程不多而且是一個類庫性質的。不過官方提供了 DEMO ,有能力的同學入門也不算難事。
3.3 Apache Oltu
Apache Oltu 是 Apache 基金會旗下的一個畢業專案。提供了 OAuth2.0 的常用實現,根據文件提供的資訊來看上手還是比較簡單的,模組化的提供了對 Authorization Server、Resource Server、Client、JOSE、 的支援。中文教程網上還是有不少的,缺點在於專案維護比較滯後,最新的版本是 2016 年釋出的。
3.4 Vertx-auth-oauth2
vertx-auth-oauth2 屬於 Vert.x 生態,提供了比較完整的 OAuth2.0 實現,而且專案維護比較活躍,唯一的缺點在於有技術棧的侷限性。
4. 總結
針對 Java 的一些 OAuth2.0 技術選型參考就是上面幾個了。不知道你會選擇哪一個? 我在公眾號:Felordcn 發起了一個關於 OAuth2.0 技術選型的投票,希望你能夠參與。投票傳送門【複製連結到微信中開啟投票】
關注公眾號:Felordcn獲取更多資訊
