Spring Boot — OAuth2 и JWT

[ultrinfaern]

Я бы не советовал использовать библиотеки spring oauth, так как их разработка заморожена. Весь функционал этих библиотек переносится в spring security. Например, ResourseServer уже перенесен (возможно не полностью) в spring security.

[damienmiheev]

Вроде как для oauth server они рекомендуют использовать spring oauth, так как перенос в spring security уже больше года длится, где то даже встречал таблицу что где использовать.
Для oauth в качестве Resource Server spring security будет достаточно.

[alek_sys]

Спасибо за перевод, но этот мануал не самый лучший, если не сказать вредный, по ряду причин.

1. Как уже упомянуто выше — проект Spring Security OAuth официально в maintainence режиме и сейчас лучше использовать Spring Security 5 который включает поддержку OAuth2.
2. Пример когда приложение является и authorization server и resource server очень неудачный и плохо показывает зачем вообще нужен OAuth flow.
3. Ну и это самое главное — "просто добавьте, наследуйте, создайте, определите" в обучающей статье это все же вредные советы. Зачем определять порядок фильтра? Зачем включать Global Web Security? Что делают все эти странные конфигурации и что они решают? Почему не использовать Spring Boot для всех этих дефолтов?

Лично я бы очень рекомендовал переводить статьи из качественных источников, сейчас, пожалуй, непризнанный лидер это сайт https://www.baeldung.com.

[DonAlPAtino]

ткните, пожалуйста, пальцем в самый простой пример для начинающих

[alek_sys]

Из самых актуальных есть пример от самого Джо Гранжа — главного разработчика Oauth в Spring Security 5: https://github.com/jgrandja/oauth2-protocol-patterns

Там разные паттерны для OAuth показаны шаг за шагом. Это пример Джо использовал в своём выступлении на Spring I/O 2019 — но видео пока нет, организаторы обещали скоро выложить.