【发布时间】:2015-06-15 02:15:54
【问题描述】:
我的目标是通过我自己的自定义 OAuth 授权服务器(不是 google、facebook 等)使用资源所有者密码凭据授予来保护我的 REST API。用户将通过 SSL 传递凭据并取回访问令牌和刷新令牌。我按照本教程进行操作 - http://www.beingjavaguys.com/2014/10/spring-security-oauth2-integration.html
不过,我有几个问题 -
- 1- 首先是好方法吗?
- 2- 该教程中的用户凭据作为查询参数传递。 这不是可取的方法。如何将其设为 POST 请求。
- 3- 我想将凭证信息存储在数据库中并实现 通过验证数据库中的用户名/密码来自定义身份验证。 (与上述教程中的方法相反,其中 凭据存储在文件中)
请提供您的见解。谢谢!
【问题讨论】:
-
您之前是否使用过 Google 或 FB 实现过 OAuth 协议?我建议使用 Google 或 FB,因为有很多您无法考虑的因素。
-
不,我之前没有使用 Google 或任何其他第三方授权服务器实现它。为什么我不打算这样做是因为我想维护我的客户的用户数据库。出于各种商业原因。我可以以某种方式维护用户数据库并仍然使用第 3 方授权服务器吗???
-
或者我可以通过用户的 Google/FB id 来维护用户信息。如果解决了这个问题,我可以将 OAuth 与 Google/FB 一起使用。如果可能,请分享一些好的教程和代码示例。谢谢!
标签: spring rest spring-mvc oauth-2.0 spring-security-oauth2