是否存在OAuth资源所有者密码流的Java提供程序实现或要包含在我的项目中的库?
我已经读过Spring Security为这些库提供了服务器或提供程序实现,我是否只能将这些Spring库包含到我的标准Java EE项目中而不使用完整的Spring堆栈?
在RFC之后实现该流程的OAuth提供程序和客户端是否可能或合理?
答案 0 :(得分:0)
UAA项目使用Spring Security的OAuth提供程序来实现完整的OAuth2授权服务器(包括资源所有者授权)。为什么不使用它?
在不使用Spring的情况下,您不能“仅将那些Spring库包含到我的标准Java EE项目中”。从您的问题中可以清楚地看到您希望如何工作。例如,授权服务器在哪里实现?
当然可以自己实现OAuth2提供程序,特别是如果您只使用部分规范,但这并非易事,如果只是对您的主应用程序开发是偶然的,可能不是“合理的”。
当从授权服务器获取令牌的应用程序访问资源服务器时,您仍需要考虑如何保护资源服务器。换句话说,他们需要能够检查和理解发布的令牌,并根据它做出访问决定。