Spring安全和OpenID连接（OIDC）

在我当前的项目中，我全面使用SpringSecurityOAuth（）项目来保护我们的资源（WebAPI）。到目前为止一切正常

我现在正在开发客户端，我正在寻找对身份验证场景的良好支持（因为OAuth是一种授权协议）。在长时间的互联网搜索之后，我很确定我应该使用OpenID Connect（）来满足这个要求，因为它是“OAuth 2.0之上的一个简单的身份层”（但是我知道，在安全主题方面没有“简单的”）

遗憾的是，我找不到任何关于SpringSecurity中对OpenIDConnect（不要与“纯”OpenID混淆）的支持的好资源。在上有一个OpenID Connect参考实现，但我希望Spring Security中有类似的内容，包括全面的文档等等。我在这里发现了大约两年前的讨论，但目前的情况如何？寻找“针对OpenID Connect的Spring安全支持”不会带来任何“有形”的结果

您是否有任何关于借助Spring Security实现OpenID Connect的信息、文档和/或经验？

在出现之前，假设请求参数

response\u type

的值为

code

（for）或

token

（for）。但是，现在授权服务器实现必须能够处理（

code

、

token

、

id\u token

）和

none

的任意组合。有关详细信息，请参见“和”

作为支持OpenID连接的第一步，Spring Security OAuth必须对

响应类型

变得灵活。您可以在“”中找到对它的请求。但是，很难将只需要

code

或

token

的现有代码更改为一次可以接受多个值的新代码。截至本文撰写之时，在2015年12月12日发表的最新评论以下面摘录的一句话结尾

任何评论都是非常受欢迎的，因为事实证明（正如我预测的）这是一个大型重构练习

如果SpringSecurityOAuth纯粹是一个自愿项目，没有任何商业机构的支持，那么这样大的变化就不太可能发生

我的经验：大约两年前，我从头编写了一个OAuth2.0服务器。在那之后，我才知道OpenID Connect的存在。在阅读了与OpenID Connect相关的规范之后，我最终得出结论，要转储现有的实现，重新从头开始编写服务器

正如您所猜测的，OpenID连接一点也不简单

另请参见中的“5.响应类型” “”

---

更新（2017-11-23）

Spring框架上的授权服务器和OpenID提供程序

Spring框架上的资源服务器

支持OAuth 2.0和OpenID连接具有UserInfo端点的实现，该端点在“OpenID Connect 1.0”中定义。两种实现都不使用，而是使用和

博客：