获取刷新令牌我正在调用这样的服务
现在服务将返回刷新令牌和临时访问令牌 但问题是' 在网址中传递用户名,尤其是网络密码是不安全的'所以我想要call / oauth / token,我需要在请求正文或请求标题中传递grant_type,client_id,username,password..details .... 并支持我需要在security-servlet.xml中配置哪个过滤器
我还想在reqest头中传递access_token来调用不在url中的rest服务 员工/列表?的accessToken = 657gjgf3563285 我怎么能做到这一点?以及我的security-servlet.xml如何支持这个? 最后我对/ oauth / token的请求是什么样的......
答案 0 :(得分:1)
春天oauth内有对持有人令牌的支持(见BearerTokenExtractor)。
此外,如果在URL中传递用户名/密码被认为对您不安全,则很可能将其放入请求正文或标题中将不再安全。为了更安全,您需要使用PKI加密内容或使用HTTPS等安全传输方法(OAuth 2规范说基本上要求使用TLS)。