1. 前言
在使用 OAuth2.0 中 Authorization Server (授權伺服器)是一個回避不了的設施,在大多數情況下我們調用的是一些知名的、可靠的、可信任的第三方平台,比如 QQ、微信、微網誌、github 等。我們的應用隻作為 Client 進行注冊接入即可。也就是說我們隻需要實作 OAuth2.0 用戶端的邏輯就可以了,無須關心授權伺服器的實作。然而有時候我們依然希望建構自己的 Authorization Server。我們應該如何實作?今天不會讨論具體的技術細節,來談談 OAuth2.0 的技術選型。
2. Spring Security OAuth2 現狀
在做 Spring Security 相關教程 的時候首先會考慮 Spring 提供的 OAuth2.0 功能。當我去 Spring 官網了解相關的類庫時發現居然 Spring 的 OAuth2.0 類庫即将過期的通知,有圖有真相:
總結以下就是 Spring Security OAuth 的子產品即将過期,後續的功能已經遷移到 Spring Security 5.2.x 中,但是不會再提供 Authorization Server 的功能。 在官方聲明中還提到, 目前 Spring Security OAuth 分支是
2.3.x
和
2.4.x
。
2.3.x
版本将于 2020 年 3 月壽命終止。我們将在達到功能均等後至少一年支援 2.4.x 版本。是以鼓勵使用者開始将其舊版
OAuth 2.0
用戶端和資源伺服器應用程式遷移到Spring Security 5.2 中的新支援。詳細參見 官方部落格.
3. 對 OAuth2.0 的技術選型
從上面的資訊看來, Spring Security 未來依然提供 OAuth2 的 用戶端支援 和 資源伺服器支援。授權伺服器 将逐漸退出 Spring Security 的生态環境。是以如果沒有授權伺服器需求的情況下選擇 Spring Security 依然是沒有問題的,一旦有這個需求我們該如何選擇?我這裡調研了幾個開源免費的項目。
3.1 keycloak
keycloak是 RedHat 公司出品。是一個緻力于解決應用和服務身份驗證與通路管理的開源工具。可以通過簡單的配置達到保護應用和服務的目的。它提供了身份和通路管理的有用功能:
- 單點登入(SSO),身份代理和第三方登入。
- 支援 OpenID Connect,OAuth 2.0 和 SAML 2.0 等标準協定。
- 使用者集中管理。
- 用戶端擴充卡,輕松保護應用程式和服務。
- 可視化管理控制台和帳戶管理控制台。
- 可擴充性、高性能、快速實作落地。
文檔比較完畢,而且是一個成熟的、免費的商業級産品。
3.2 Nimbus SDK
全稱是 Nimbus OAuth 2.0 / OpenID Connect SDK,這是一個類庫。Spring 官方在部落格中提到可以使用該類庫建構 Authorization Server,它同時支援 OAuth2.0 和 OpenID Connect,比較完整地實作了這兩個協定,而且針對補充協定也在積極的跟進。缺點在于中文教程不多而且是一個類庫性質的。不過官方提供了 DEMO ,有能力的同學入門也不算難事。
3.3 Apache Oltu
Apache Oltu 是 Apache 基金會旗下的一個畢業項目。提供了 OAuth2.0 的常用實作,根據文檔提供的資訊來看上手還是比較簡單的,子產品化的提供了對 Authorization Server、Resource Server、Client、JOSE、 的支援。中文教程網上還是有不少的,缺點在于項目維護比較滞後,最新的版本是 2016 年釋出的。
3.4 Vertx-auth-oauth2
vertx-auth-oauth2 屬于 Vert.x 生态,提供了比較完整的 OAuth2.0 實作,而且項目維護比較活躍,唯一的缺點在于有技術棧的局限性。
4. 總結
針對 Java 的一些 OAuth2.0 技術選型參考就是上面幾個了。不知道你會選擇哪一個? 我在公衆号:Felordcn 發起了一個關于 OAuth2.0 技術選型的投票,希望你能夠參與。投票傳送門【複制連結到微信中打開投票】
| 部落客:碼農小胖哥 出處:felord.cn 本文版權歸原作者所有,不可商用,轉載需要聲明出處,否則保留追究法律責任的權利。如果文中有什麼錯誤,歡迎指出。以免更多的人被誤導。 |