投票：OAuth2.0 技術選型你會怎麼選

1. 前言

在使用 OAuth2.0 中 Authorization Server （受權服務器）是一個迴避不了的設施，在大多數狀況下咱們調用的是一些知名的、可靠的、可信任的第三方平臺，好比 QQ、微信、微博、github 等。咱們的應用只做爲 Client 進行註冊接入便可。也就是說咱們只須要實現 OAuth2.0 客戶端的邏輯就能夠了，無須關心受權服務器的實現。然而有時候咱們依然但願構建本身的 Authorization Server。咱們應該如何實現？今天不會討論具體的技術細節，來談談 OAuth2.0 的技術選型。

2. Spring Security OAuth2 現狀

在作 Spring Security 相關教程 的時候首先會考慮 Spring 提供的 OAuth2.0 功能。當我去 Spring 官網瞭解相關的類庫時發現竟然 Spring 的 OAuth2.0 類庫即將過時的通知，有圖有真相：

總結如下就是 Spring Security OAuth 的模塊即將過時，後續的功能已經遷移到 Spring Security 5.2.x 中，可是不會再提供 Authorization Server 的功能。 在官方聲明中還提到， 當前 Spring Security OAuth 分支是 2.3.x 和 2.4.x。2.3.x版本將於 2020 年 3 月壽命終止。咱們將在達到功能均等後至少一年支持 2.4.x 版本。所以鼓勵用戶開始將其舊版 OAuth 2.0 客戶端和資源服務器應用程序遷移到Spring Security 5.2 中的新支持。詳細參見 官方博客.

3. 對 OAuth2.0 的技術選型

從上面的信息看來， Spring Security 將來依然提供 OAuth2 的 客戶端支持 和 資源服務器支持。受權服務器 將逐漸退出 Spring Security 的生態環境。因此若是沒有受權服務器需求的狀況下選擇 Spring Security 依然是沒有問題的，一旦有這個需求咱們該如何選擇？我這裏調研了幾個開源免費的項目。

3.1 keycloak

keycloak是 RedHat 公司出品。是一個致力於解決應用和服務身份驗證與訪問管理的開源工具。能夠經過簡單的配置達到保護應用和服務的目的。它提供了身份和訪問管理的有用功能：

• 單點登陸（SSO），身份代理和第三方登陸。
• 支持 OpenID Connect，OAuth 2.0 和 SAML 2.0 等標準協議。
• 用戶集中管理。
• 客戶端適配器，輕鬆保護應用程序和服務。
• 可視化管理控制檯和賬戶管理控制檯。
• 可擴展性、高性能、快速實現落地。

文檔比較完畢，並且是一個成熟的、免費的商業級產品。

3.2 Nimbus SDK

全稱是 Nimbus OAuth 2.0 / OpenID Connect SDK，這是一個類庫。Spring 官方在博客中提到可使用該類庫構建 Authorization Server，它同時支持 OAuth2.0 和 OpenID Connect，比較完整地實現了這兩個協議，並且針對補充協議也在積極的跟進。缺點在於中文教程很少並且是一個類庫性質的。不過官方提供了 DEMO ，有能力的同窗入門也不算難事。

3.3 Apache Oltu

Apache Oltu 是 Apache 基金會旗下的一個畢業項目。提供了 OAuth2.0 的經常使用實現，根據文檔提供的信息來看上手仍是比較簡單的，模塊化的提供了對 Authorization Server、Resource Server、Client、JOSE、 的支持。中文教程網上仍是有很多的，缺點在於項目維護比較滯後，最新的版本是 2016 年發佈的。

3.4 Vertx-auth-oauth2

vertx-auth-oauth2 屬於 Vert.x 生態，提供了比較完整的 OAuth2.0 實現，並且項目維護比較活躍，惟一的缺點在於有技術棧的侷限性。

4. 總結

針對 Java 的一些 OAuth2.0 技術選型參考就是上面幾個了。不知道你會選擇哪個？ 我在公衆號：Felordcn 發起了一個關於 OAuth2.0 技術選型的投票，但願你可以參與。投票傳送門【複製連接到微信中打開投票】

關注公衆號：Felordcn 獲取更多資訊

我的博客：https://felord.cn