/oauth/authorize 和 /oauth/token 在 Spring OAuth 中如何交互?

【问题标题】:How do /oauth/authorize and /oauth/token interact in Spring OAuth?/oauth/authorize 和 /oauth/token 在 Spring OAuth 中如何交互?
【发布时间】:2016-08-25 00:10:36
【问题描述】:

我正在深入研究 Spring OAuth,发现一些相互矛盾的信息。

具体来说,this tutorial 声明/oauth/token 端点在将刷新令牌授予客户端应用程序之前处理用户名和密码。相比之下,Spring OAuth Developer Guide 提到了 /oauth/authorize/oauth/token 端点,但并未具体说明它们的工作原理。

/oauth/authorize 是否 100% 执行username/password/nOtherFactors 检查,然后向/oauth/token 端点发送刷新令牌给客户端,以便客户端随后将刷新令牌发送给/oauth/token 端点?

还是全部由/oauth/token 端点处理?

/oauth/authorize/oauth/token 之间的关系对于不同的授权类型是否不同?怎么样?

【问题讨论】:

  • 我已经从中删除了两个图像,其中图像主机已经死亡。如果你能再次拿到这些图片,请把它们放到官方CDN上。

标签: spring oauth oauth-2.0 spring-security-oauth2 spring-oauth2


【解决方案1】:

根据 OAuth 2.0 规范,授权和令牌端点有不同的用途。

授权端点是资源所有者(用户)登录并向客户端授予授权的地方(例如:在浏览器中运行的 Web 应用程序或在移动设备上运行的应用程序)。这通常用于资源所有者的用户代理(例如:浏览器)被重定向到身份服务器(授权服务器)进行身份验证的场景。资源所有者的用户代理将直接访问访问令牌。

令牌端点是客户端(例如:服务器端 API 或移动应用程序)调用以交换授权代码、客户端 ID 和客户端密钥以获取访问令牌的地方。在这种情况下,用户代理只提供了一个授权码,不能直接访问访问令牌。客户端是一个受信任方,可以从授权服务器访问客户端 ID 和客户端密码(这就是我提到服务器端 API 作为客户端的原因)。

请阅读this 有更好解释的文章。

【讨论】:

  • 感谢您和 +1 提供带有链接的解释。当我有时间的时候,让我进一步研究一下。我很想知道对于不同的授权类型,这个 OP 的答案是否不同。但是,我不希望你写一篇关于它的论文。
  • 太棒了!我知道这个答案已经有点老了,但是感谢您的简短解释!特别是如果使用 Spring Security 5 + OAuth2Client,则会获得大量端点就像那样 - 这使得基于这些库的应用程序更难理解和定制。
猜你喜欢
  • 2015-11-10
  • 2011-08-09
  • 2015-06-03
  • 2015-05-28
  • 2018-10-16
  • 2023-03-08
  • 2017-01-07
  • 2018-04-26
  • 2015-10-13
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode