Oauth2:资源服务器应该如何知道访问令牌是否有效?

【问题标题】:Oauth2: how should the resource server know if the access token is valid?Oauth2:资源服务器应该如何知道访问令牌是否有效?
【发布时间】:2015-05-17 01:19:18
【问题描述】:

我正在使用 Spring 为我们的移动 API 实现 Ouath2 身份验证。到目前为止它可以工作,但我不知道我应该如何将资源服务器分开。所以我有一个身份验证服务器,它使用密码授权类型发出令牌和刷新令牌。这意味着用户将登录移动应用程序,该应用程序向身份验证服务器发送客户端 ID/客户端密码以及用户的 凭据,这会为具有适当 (ROLE_USER) 权限的用户生成访问令牌和刷新令牌。另一个基于 Web 的客户端适用于执行相同操作并获得 ROLE_ADMIN 权限等的管理员。

到目前为止效果很好。

现在,如果任何客户端向资源服务器发送请求,会发生什么?资源服务器是否应该检查令牌的有效性?如果真是这样,那么是以哪种方式?还是授权服务器将令牌复制到资源服务器的数据库中?

【问题讨论】:

    标签: rest authentication spring-security oauth-2.0 spring-security-oauth2


    【解决方案1】:

    如果您@EnableResourceServer,您将获得一个检查访问令牌的过滤器。它需要与身份验证服务器共享TokenStore。就是这样才能让某些东西发挥作用。

    【讨论】:

    猜你喜欢
    • 2019-03-09
    • 2023-02-22
    • 2016-02-03
    • 2020-12-29
    • 1970-01-01
    • 2021-12-26
    • 2018-12-26
    • 2015-06-18
    • 2015-10-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode