1. 为什么需要从/oauth/token迁移到/oauth2/token最近在升级SpringBoot3项目时遇到了一个棘手的问题原先运行良好的OAuth2认证接口突然失效了。仔细排查后发现原来是Spring Security 6.x彻底重构了OAuth2的实现方式最直观的变化就是接口路径从/oauth/token变成了/oauth2/token。这可不是简单的URL改动背后是整个授权架构的重构。我遇到过不少团队在升级时踩坑有个典型案例某电商系统升级后导致所有第三方商家应用无法登录差点引发生产事故。究其原因就是没有处理好接口兼容性问题。所以今天我想结合自己的踩坑经验详细讲讲如何实现平滑迁移。先说说新旧版本的本质区别。老版本Spring Security 5.x的OAuth2实现是基于spring-security-oauth2库而新版本6.x则是全新的spring-authorization-server。这两个库的差异之大就像iPhone 4和iPhone 14的区别——虽然都叫iPhone但内部构造完全不同。2. 新旧版本核心差异解析2.1 架构设计对比老版本采用集中式端点设计所有认证逻辑都集中在TokenEndpoint类里。这种设计简单直接但扩展性较差。就像老式收音机所有功能都集成在一块电路板上要改某个功能就得动整个板子。新版本改用模块化设计通过FilterAuthenticationProvider的组合实现认证流程。这种设计更灵活就像现代电脑可以单独升级显卡或内存。具体差异如下表特性旧版 (Spring Security OAuth2)新版 (Spring Authorization Server)核心依赖spring-security-oauth2已废弃spring-boot-starter-oauth2-authorization-server请求方式支持GET/POST /oauth/token仅支持POST /oauth2/token参数传递URL查询参数或form-data必须使用form-data代码入口TokenEndpoint类OAuth2TokenEndpointFilter2.2 代码层面的变化老版本的端点配置非常直观FrameworkEndpoint public class TokenEndpoint { RequestMapping(value /oauth/token, methodRequestMethod.POST) public ResponseEntityOAuth2AccessToken postAccessToken( RequestParam MapString, String parameters) { // 认证逻辑 } }而新版本完全重构了实现方式认证流程被拆解到多个组件中OAuth2TokenEndpointFilter处理/oauth2/token请求AuthenticationProvider执行具体的认证逻辑TokenGenerator生成访问令牌这种变化带来的最大挑战是调试和问题定位的方式完全不同了。以前直接在TokenEndpoint打断点就行现在需要跟踪整个过滤器链。3. 平滑迁移实战指南3.1 基础环境准备首先确保你的依赖配置正确。这是很多同学第一个踩坑点我见过有人同时引入了新旧两个版本的依赖导致各种诡异问题。!-- 正确的新版依赖 -- dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-oauth2-authorization-server/artifactId /dependency !-- 必须移除的旧依赖 -- dependency groupIdorg.springframework.security.oauth/groupId artifactIdspring-security-oauth2/artifactId !-- 这个一定要删除 -- /dependency3.2 双端点兼容方案对于已经上线的系统直接切换会导致所有客户端无法认证。我推荐采用渐进式迁移方案首先配置新版端点Bean Order(1) public SecurityFilterChain authorizationServerSecurityFilterChain(HttpSecurity http) throws Exception { OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http); http.getConfigurer(OAuth2AuthorizationServerConfigurer.class) .tokenEndpoint(tokenEndpoint - tokenEndpoint.accessTokenRequestConverter(new CustomTokenRequestConverter())); return http.build(); }然后保留旧版端点兼容层RestController public class LegacyOAuthEndpoint { PostMapping(/oauth/token) public ResponseEntityOAuth2AccessToken legacyToken( RequestParam MultiValueMapString, String params) { // 将旧版参数转换为新版格式 HttpServletRequest request ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); // 转发到新版端点 return ForwardUtil.forwardTo(/oauth2/token, request); } }这个方案的关键点在于使用Forward保持请求上下文参数转换要处理所有grant_type场景保持响应格式一致3.3 客户端适配改造虽然服务端可以兼容但建议客户端逐步迁移到新端点。主要修改点包括将请求URL从/oauth/token改为/oauth2/token请求参数必须放在form-data中不能再使用URL参数确保Content-Type设置为application/x-www-form-urlencoded可以用这个curl命令测试新端点curl -X POST http://localhost:8080/oauth2/token \ -H Content-Type: application/x-www-form-urlencoded \ -d client_idclient1client_secretsecretgrant_typepasswordusernameuserpasswordpass4. 常见问题排查4.1 参数转换问题最常见的错误是参数格式不对。新版严格要求client_id和client_secret必须通过Basic Auth或form-data传递grant_type必须明确指定所有参数必须放在请求体里如果遇到invalid_request错误建议这样排查Bean public OAuth2TokenEndpointFilter oAuth2TokenEndpointFilter( AuthenticationManager authenticationManager, OAuth2AuthorizationServerConfigurer configurer) { return new OAuth2TokenEndpointFilter(authenticationManager, configurer.getTokenEndpoint()) { Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) { // 这里可以打印请求参数 System.out.println(Received token request: request.getParameterMap()); super.doFilterInternal(request, response, filterChain); } }; }4.2 签名验证失败在新版本中JWT签名验证更加严格。如果遇到签名错误检查JWK配置是否正确Bean public JWKSourceSecurityContext jwkSource() { KeyPair keyPair generateRsaKey(); RSAPublicKey publicKey (RSAPublicKey) keyPair.getPublic(); RSAPrivateKey privateKey (RSAPrivateKey) keyPair.getPrivate(); RSAKey rsaKey new RSAKey.Builder(publicKey) .privateKey(privateKey) .keyID(UUID.randomUUID().toString()) .build(); return new ImmutableJWKSet(new JWKSet(rsaKey)); }确保资源服务器使用相同的JWKBean public JwtDecoder jwtDecoder(JWKSourceSecurityContext jwkSource) { return OAuth2AuthorizationServerConfiguration.jwtDecoder(jwkSource); }5. 迁移后的优化建议完成基本迁移后可以考虑这些优化启用token定制Bean public OAuth2TokenGenerator? tokenGenerator(JWKSourceSecurityContext jwkSource) { JwtEncoder jwtEncoder new NimbusJwtEncoder(jwkSource); JwtGenerator jwtGenerator new JwtGenerator(jwtEncoder); jwtGenerator.setJwtCustomizer(jwtCustomizer()); return new DelegatingOAuth2TokenGenerator(jwtGenerator, new OAuth2AccessTokenGenerator()); } private OAuth2TokenCustomizerJwtEncodingContext jwtCustomizer() { return context - { if (context.getTokenType().getValue().equals(access_token)) { context.getClaims().claim(custom_claim, value); } }; }配置token有效期Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient client RegisteredClient.withId(UUID.randomUUID().toString()) .tokenSettings(TokenSettings.builder() .accessTokenTimeToLive(Duration.ofHours(2)) .refreshTokenTimeToLive(Duration.ofDays(30)) .build()) .build(); return new InMemoryRegisteredClientRepository(client); }监控token发放Bean public OAuth2AuthorizationService authorizationService() { return new JdbcOAuth2AuthorizationService(dataSource, registeredClientRepository()); } // 然后可以通过定时任务分析token发放情况整个迁移过程就像给飞行中的飞机换引擎必须谨慎操作。我在实际项目中总结的经验是先做好兼容层再逐步迁移客户端最后移除旧代码。测试阶段要特别注意边缘情况比如refresh_token流程、各种grant_type的支持等。