Spring Authorization Server 3.3.0版本中TokenSettings配置变更解析

在Spring Authorization Server从3.2.9升级到3.3.0及以上版本时，开发者可能会遇到一个关于TokenSettings配置的重要变更。这个变更影响了自定义授权类型的实现方式，特别是当开发者尝试保存授权信息到数据库时。

问题现象

当使用自定义授权类型（如密码授权模式）时，系统会抛出以下异常：

Cannot invoke "java.lang.Boolean.booleanValue()" because the return value of "org.springframework.security.oauth2.server.authorization.settings.TokenSettings.getSetting(String)" is null

这个异常明确指出，系统无法从TokenSettings中获取x509CertificateBoundAccessTokens设置的值，因为该值为null。在3.2.9版本中，这个配置是可选的，但在3.3.0及以上版本中，它变成了必填项。

技术背景

TokenSettings是Spring Authorization Server中用于配置令牌生成和验证行为的核心类。在3.3.0版本中，Spring Security团队对TokenSettings的实现进行了强化，要求所有设置项都必须有明确的默认值或显式配置。

x509CertificateBoundAccessTokens是一个与MTLS（Mutual TLS）相关的安全设置，用于指示是否要求访问令牌与X.509证书绑定。虽然这个功能在大多数场景下可能不会使用，但框架现在强制要求明确指定这个设置。

解决方案

要解决这个问题，开发者需要在注册客户端时明确配置tokenSettings。以下是两种配置方式：

1. 通过代码配置：

RegisteredClient registeredClient = RegisteredClient.withId(UUID.randomUUID().toString())
    // 其他客户端配置...
    .tokenSettings(TokenSettings.builder()
        .x509CertificateBoundAccessTokens(false) // 根据需求设置true或false
        .build())
    .build();

2. 通过数据库配置： 如果使用数据库存储客户端配置，需要在registered_client表的token_settings列中添加以下JSON配置：

{
    "x509-certificate-bound-access-tokens": false
}

版本兼容性建议

对于从旧版本升级的项目，建议：

1. 检查所有现有的客户端配置，确保tokenSettings中包含x509CertificateBoundAccessTokens设置
2. 在测试环境中充分验证自定义授权类型的流程
3. 考虑编写数据库迁移脚本，为现有记录添加默认值

总结

Spring Authorization Server 3.3.0对TokenSettings的校验更加严格，这体现了框架对安全配置显式化的设计理念。开发者需要特别注意这一变更，特别是在实现自定义授权类型时。通过正确配置x509CertificateBoundAccessTokens，可以确保系统在各种授权流程中都能正常工作。

这一变更虽然增加了少量配置工作，但从长远来看，它使得系统配置更加明确和可维护，有利于构建更安全的OAuth2授权服务。