概述 :: Spring Authorization Server

Spring Authorization Server 簡介

Spring Authorization Server 是一個框架，提供了 OAuth 2.1 和 OpenID Connect 1.0 規範以及其他相關規範的實現。它構建在 Spring Security 之上，為構建 OpenID Connect 1.0 身份提供者和 OAuth2 授權伺服器產品提供了安全、輕量級且可定製的基礎。

用例

以下列表提供了一些使用 Spring Authorization Server 的用例，以便與開源或商業 OAuth2 或 OpenID Connect 1.0 提供商產品進行比較。

當需要高階定製場景時，提供對配置和定製的完全控制。
相比於包含所有“花哨功能”的商業產品，更偏愛輕量級授權伺服器。
潛在節省軟體許可和/或託管成本。
使用熟悉的 Spring 程式設計模型，在開發過程中快速啟動和易於使用。

功能列表

Spring Authorization Server 支援以下功能

類別功能相關規範

類別	功能	相關規範
授權許可	授權碼使用者同意客戶端憑據重新整理令牌裝置碼使用者同意令牌交換	OAuth 2.1 授權框架 (草案) 授權碼許可 (Authorization Code Grant) 客戶端憑據許可 (Client Credentials Grant) 重新整理令牌許可 (Refresh Token Grant) OpenID Connect Core 1.0 (規範) 授權碼流程 (Authorization Code Flow) OAuth 2.0 裝置授權許可 (規範) 裝置流程 (Device Flow) OAuth 2.0 令牌交換 (規範) 令牌交換流程 (Token Exchange Flow)
令牌格式	自包含 (JWT) 引用 (不透明)	JSON Web Token (JWT) (RFC 7519) JSON Web Signature (JWS) (RFC 7515)
客戶端認證	`client_secret_basic` `client_secret_post` `client_secret_jwt` `private_key_jwt` `tls_client_auth` `self_signed_tls_client_auth` `none` (公共客戶端)	OAuth 2.1 授權框架 (客戶端認證) OAuth 2.0 客戶端認證的 JSON Web Token (JWT) Profile (RFC 7523) OAuth 2.0 相互 TLS 客戶端認證和證書繫結訪問令牌 (RFC 8705) OAuth 公共客戶端的程式碼交換證明金鑰 (PKCE) (RFC 7636)
協議端點	OAuth2 授權端點 OAuth2 裝置授權端點 OAuth2 裝置驗證端點 OAuth2 令牌端點 OAuth2 令牌內省端點 OAuth2 令牌撤銷端點 OAuth2 授權伺服器元資料端點 JWK Set 端點 OpenID Connect 1.0 提供商配置端點 OpenID Connect 1.0 退出端點 OpenID Connect 1.0 使用者資訊端點 OpenID Connect 1.0 客戶端註冊端點	OAuth 2.1 授權框架 (草案) 授權端點 (Authorization Endpoint) 令牌端點 (Token Endpoint) OAuth 2.0 裝置授權許可 (RFC 8628) 裝置授權端點 (Device Authorization Endpoint) 裝置驗證端點 (Device Verification Endpoint) OAuth 2.0 令牌內省 (RFC 7662) OAuth 2.0 令牌撤銷 (RFC 7009) OAuth 2.0 授權伺服器元資料 (RFC 8414) JSON Web Key (JWK) (RFC 7517) OpenID Connect Discovery 1.0 (規範) 提供商配置端點 (Provider Configuration Endpoint) OpenID Connect RP 發起退出 1.0 (規範) 退出端點 (Logout Endpoint) OpenID Connect Core 1.0 (規範) 使用者資訊端點 (UserInfo Endpoint) OpenID Connect 動態客戶端註冊 1.0 (規範) 客戶端註冊端點 (Client Registration Endpoint) 客戶端配置端點 (Client Configuration Endpoint)

授權許可

授權碼
- 使用者同意
客戶端憑據
重新整理令牌
裝置碼
- 使用者同意
令牌交換

OAuth 2.1 授權框架 (草案)
OpenID Connect Core 1.0 (規範)
- 授權碼流程 (Authorization Code Flow)
OAuth 2.0 裝置授權許可 (規範)
- 裝置流程 (Device Flow)
OAuth 2.0 令牌交換 (規範)
- 令牌交換流程 (Token Exchange Flow)

令牌格式

自包含 (JWT)
引用 (不透明)

JSON Web Token (JWT) (RFC 7519)
JSON Web Signature (JWS) (RFC 7515)

客戶端認證

client_secret_basic
client_secret_post
client_secret_jwt
private_key_jwt
tls_client_auth
self_signed_tls_client_auth
none (公共客戶端)

OAuth 2.1 授權框架 (客戶端認證)
OAuth 2.0 客戶端認證的 JSON Web Token (JWT) Profile (RFC 7523)
OAuth 2.0 相互 TLS 客戶端認證和證書繫結訪問令牌 (RFC 8705)
OAuth 公共客戶端的程式碼交換證明金鑰 (PKCE) (RFC 7636)

協議端點

OAuth 2.1 授權框架 (草案)
- 授權端點 (Authorization Endpoint)
- 令牌端點 (Token Endpoint)
OAuth 2.0 裝置授權許可 (RFC 8628)
- 裝置授權端點 (Device Authorization Endpoint)
- 裝置驗證端點 (Device Verification Endpoint)
OAuth 2.0 令牌內省 (RFC 7662)
OAuth 2.0 令牌撤銷 (RFC 7009)
OAuth 2.0 授權伺服器元資料 (RFC 8414)
JSON Web Key (JWK) (RFC 7517)
OpenID Connect Discovery 1.0 (規範)
- 提供商配置端點 (Provider Configuration Endpoint)
OpenID Connect RP 發起退出 1.0 (規範)
- 退出端點 (Logout Endpoint)
OpenID Connect Core 1.0 (規範)
- 使用者資訊端點 (UserInfo Endpoint)
OpenID Connect 動態客戶端註冊 1.0 (規範)
- 客戶端註冊端點 (Client Registration Endpoint)
- 客戶端配置端點 (Client Configuration Endpoint)