我们有一个带有UI的Web应用程序,以及UI使用的REST服务。
现在,我已经设法在一些基本配置中设置Spring Security,允许使用用户名和密码登录。我们希望对此进行扩展,以使用现有的GitHub帐户对用户进行身份验证。我知道GitHub使用OAuth。我不明白的是这一切如何与我们的服务器端一起工作。
据我了解,它应该以某种方式工作:Web UI检查它是否可以找到某种用户机密令牌(cookie?)并在其对REST服务的请求中使用它。 REST服务需要某种方式来验证给定的用户秘密令牌是否有效,因此它必须联系GitHub OAuth服务并以某种方式验证它。这是正确的吗?或者机制完全不同?
如果以上是正确的,我是否需要在服务器端记住用户密钥令牌一段时间,或者我是否使用GitHub为每个请求重新验证它?