面向公共客户端的 Spring Boot 2 授权服务器 (PKCE)

Question

是否可以在当前版本的 Spring Security 中为 PKCE 身份验证创建授权服务器？

我进行了研究，发现了这个授权服务器项目https://github.com/spring-projects-experimental/spring-authorization-server，但该项目没有可用的示例。

我还发现 spring 推荐 Keycloak 作为授权服务器，但它不适合我的情况。 我们需要能够针对远程服务获取和验证用户，然后仅使用授权服务器来生成和验证 jwt 令牌。据我所知，Keycloak 也应该拥有用户，对吗？所以最好的解决方案是自定义 spring 独立授权服务器。以某种方式可能吗？谢谢！

Answer 1

你可以看看这个项目：CloudFoundry User Account and Authentication (UAA) Server。 UAA 是 Cloud Foundry 的（Spring MVC）组件，但它可以用作独立的 OAuth2 server。它可以支持外部认证服务。还有一个实现 PKCE 的 Pull Request：https://github.com/cloudfoundry/uaa/pull/939（尚未合并，但正在审核中）。

您可以在baeldung.com 上找到有关如何使用UAA 的示例。

Answer 2

据我所知，Spring 框架还有一种授权服务器的实现。它是spring-security-oauth 项目的一部分。但是该项目已进入维护模式。

根据此migration guide，将创建新的授权服务器项目（您已经找到）以更改旧解决方案。

在我看来，现在有几种可能的选择：

1. 使用旧的旧版spring-security-oauth。 old auth server 的更多示例
2. 使用 Keycloak、Auth0、Okta 等外部服务