项目依赖

在这里插入图片描述
从 spring-boot-starter-oauth2-authorization-server 的依赖树可以看到这么几个重要的依赖:

  • spring-boot-start-web:这就是为什么我们创建项目时只选 Spring Authorization Server 就够了
  • spring-security-oauth2-authorization-server:这正好印证了官网文档上给它的定位,Spring Authorization Server 是一个实现 OAuth 2.1 和 OpenID Connect 1.0 以及相关标准的框架
  • spring-security-xxx:这些依赖对应了官网上说的另一句话:Spring Authorization Server 是基于 Spring Security 的

相关规范

OIDC 1.0 与 OAuth 2.0 的关系

在这里插入图片描述

来自 openid官网 的这张图说明了一切,完整的 OIDC 就是在 OAuth 2.0 的基础上,扩展了一些易用性的功能。

所以,Spring Authorization Server 可以通过配置禁用掉 OIDC,这时 Authorization Server 就只是一个 OAuth 2 的 Authorization Server,而不是一个 OIDC 的 OP 了

更多推荐