我对实现单独的资源和授权服务器感兴趣。从here了解,为了使其工作,“令牌必须由资源服务器在本地解码,或者它必须与auth服务器共享存储。”差不多2。5年后,我希望资源服务器可以将令牌解析为Principal,而无需与授权服务器共享数据源。正如this问题所述,RemoteTokenServices是实现这一目标的唯一方法吗?如果是这样,“/ check_token”的响应应该是什么?
答案 0 :(得分:3)
RemoteTokenServices不是唯一的方法(但是它中有一些缓存可以是一个非常好的解决方案),也不是2.5年前。开箱即用的另一个选项是JWT令牌(例如https://github.com/spring-projects/spring-security-oauth/tree/master/tests/annotation/jwt)。