概述 :: Spring Authorization Server

Spring Authorization Server 简介

Spring Authorization Server 是一个框架，提供了 OAuth 2.1 和 OpenID Connect 1.0 规范以及其他相关规范的实现。它构建在 Spring Security 之上，为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了安全、轻量级且可定制的基础。

用例

以下列表提供了一些使用 Spring Authorization Server 的用例，以便与开源或商业 OAuth2 或 OpenID Connect 1.0 提供商产品进行比较。

当需要高级定制场景时，提供对配置和定制的完全控制。
相比于包含所有“花哨功能”的商业产品，更偏爱轻量级授权服务器。
潜在节省软件许可和/或托管成本。
使用熟悉的 Spring 编程模型，在开发过程中快速启动和易于使用。

功能列表

Spring Authorization Server 支持以下功能

类别功能相关规范

类别	功能	相关规范
授权许可	授权码用户同意客户端凭据刷新令牌设备码用户同意令牌交换	OAuth 2.1 授权框架 (草案) 授权码许可 (Authorization Code Grant) 客户端凭据许可 (Client Credentials Grant) 刷新令牌许可 (Refresh Token Grant) OpenID Connect Core 1.0 (规范) 授权码流程 (Authorization Code Flow) OAuth 2.0 设备授权许可 (规范) 设备流程 (Device Flow) OAuth 2.0 令牌交换 (规范) 令牌交换流程 (Token Exchange Flow)
令牌格式	自包含 (JWT) 引用 (不透明)	JSON Web Token (JWT) (RFC 7519) JSON Web Signature (JWS) (RFC 7515)
客户端认证	`client_secret_basic` `client_secret_post` `client_secret_jwt` `private_key_jwt` `tls_client_auth` `self_signed_tls_client_auth` `none` (公共客户端)	OAuth 2.1 授权框架 (客户端认证) OAuth 2.0 客户端认证的 JSON Web Token (JWT) Profile (RFC 7523) OAuth 2.0 相互 TLS 客户端认证和证书绑定访问令牌 (RFC 8705) OAuth 公共客户端的代码交换证明密钥 (PKCE) (RFC 7636)
协议端点	OAuth2 授权端点 OAuth2 设备授权端点 OAuth2 设备验证端点 OAuth2 令牌端点 OAuth2 令牌内省端点 OAuth2 令牌撤销端点 OAuth2 授权服务器元数据端点 JWK Set 端点 OpenID Connect 1.0 提供商配置端点 OpenID Connect 1.0 退出端点 OpenID Connect 1.0 用户信息端点 OpenID Connect 1.0 客户端注册端点	OAuth 2.1 授权框架 (草案) 授权端点 (Authorization Endpoint) 令牌端点 (Token Endpoint) OAuth 2.0 设备授权许可 (RFC 8628) 设备授权端点 (Device Authorization Endpoint) 设备验证端点 (Device Verification Endpoint) OAuth 2.0 令牌内省 (RFC 7662) OAuth 2.0 令牌撤销 (RFC 7009) OAuth 2.0 授权服务器元数据 (RFC 8414) JSON Web Key (JWK) (RFC 7517) OpenID Connect Discovery 1.0 (规范) 提供商配置端点 (Provider Configuration Endpoint) OpenID Connect RP 发起退出 1.0 (规范) 退出端点 (Logout Endpoint) OpenID Connect Core 1.0 (规范) 用户信息端点 (UserInfo Endpoint) OpenID Connect 动态客户端注册 1.0 (规范) 客户端注册端点 (Client Registration Endpoint) 客户端配置端点 (Client Configuration Endpoint)

授权许可

授权码
- 用户同意
客户端凭据
刷新令牌
设备码
- 用户同意
令牌交换

OAuth 2.1 授权框架 (草案)
OpenID Connect Core 1.0 (规范)
- 授权码流程 (Authorization Code Flow)
OAuth 2.0 设备授权许可 (规范)
- 设备流程 (Device Flow)
OAuth 2.0 令牌交换 (规范)
- 令牌交换流程 (Token Exchange Flow)

令牌格式

自包含 (JWT)
引用 (不透明)

JSON Web Token (JWT) (RFC 7519)
JSON Web Signature (JWS) (RFC 7515)

客户端认证

client_secret_basic
client_secret_post
client_secret_jwt
private_key_jwt
tls_client_auth
self_signed_tls_client_auth
none (公共客户端)

OAuth 2.1 授权框架 (客户端认证)
OAuth 2.0 客户端认证的 JSON Web Token (JWT) Profile (RFC 7523)
OAuth 2.0 相互 TLS 客户端认证和证书绑定访问令牌 (RFC 8705)
OAuth 公共客户端的代码交换证明密钥 (PKCE) (RFC 7636)

协议端点

OAuth 2.1 授权框架 (草案)
- 授权端点 (Authorization Endpoint)
- 令牌端点 (Token Endpoint)
OAuth 2.0 设备授权许可 (RFC 8628)
- 设备授权端点 (Device Authorization Endpoint)
- 设备验证端点 (Device Verification Endpoint)
OAuth 2.0 令牌内省 (RFC 7662)
OAuth 2.0 令牌撤销 (RFC 7009)
OAuth 2.0 授权服务器元数据 (RFC 8414)
JSON Web Key (JWK) (RFC 7517)
OpenID Connect Discovery 1.0 (规范)
- 提供商配置端点 (Provider Configuration Endpoint)
OpenID Connect RP 发起退出 1.0 (规范)
- 退出端点 (Logout Endpoint)
OpenID Connect Core 1.0 (规范)
- 用户信息端点 (UserInfo Endpoint)
OpenID Connect 动态客户端注册 1.0 (规范)
- 客户端注册端点 (Client Registration Endpoint)
- 客户端配置端点 (Client Configuration Endpoint)