Spring生态新宠：授权服务器SpringAuthorizationServer实战

"本文介绍了如何拥抱Spring的全新OAuth解决方案，即SpringAuthorizationServer (SAS)，以及在实际项目中从SpringSecurityOAuth2迁移至SAS的注意事项和扩展功能。" 随着SpringSecurityOAuth项目的停维护，开发者需要转向SpringAuthorizationServer，这是一个专门为OAuth2.1协议设计的新授权服务器，已经可以用于生产环境。在SpringBoot 3.0的过渡阶段，SpringBoot 2.7.0弃用了大量SpringSecurity的配置类，这使得升级到新版本成为必要。 迁移过程中，针对仍使用Java 8的项目，SAS 0.3.1版本开始继续支持这一版本的Java。你可以通过特定的依赖坐标`io.springboot.security:spring-security-oauth2-authorization-server:0.3.0`来获取兼容Java 8的版本。 SAS在原生的OAuth2.1协议基础上进行扩展，增加了对密码模式的支持。由于OAuth2.1不包含密码模式，这个扩展对于那些期望使用传统用户名/密码登录的系统来说非常关键。此外，还支持了短信登录，增强了用户验证的安全性。 在令牌存储方面，官方默认并未提供基于Redis的持久化方案。然而，为了提高效率和便于管理，你可以采用PIG微服务开发平台的做法，扩展PigRedisOAuth2AuthorizationService来实现Redis存储OAuth2令牌。这种方式允许通过Redis高效检索令牌，并且可以利用RDM工具进行图形化的观察和管理，通过设置统一的令牌前缀，如`::令牌类型::客户端ID::用户名::uuid`，可以进一步优化检索和组织。 在令牌输出格式上，SAS默认的生成方式可能不利于管理和检索。为了改善这一点，可以自定义`OAuth2TokenGenerator`，例如创建`CustomeOAuth2AccessTokenGenerator`，以生成更易读、更利于操作的令牌格式。 这篇文档提供了一个详细的指南，指导开发者如何从SpringSecurityOAuth2平稳迁移到SpringAuthorizationServer，同时展示了如何根据实际需求扩展SAS的功能，如支持Java 8、密码模式、Redis存储和自定义令牌格式。这将帮助开发者更好地适应Spring生态的最新变化，确保系统的安全性和可维护性。