我正在使用Spring为我们的移动API实现Ouath2身份验证。到目前为止它工作,但我不知道如何保持资源服务器分开。所以我有一个auth服务器,它使用密码grant-type发出令牌和刷新令牌。这意味着用户将登录移动应用程序,该移动应用程序将auth服务器的客户端ID /客户端密钥与用户的密码一起发送 凭据,为具有相应(ROLE_USER)权限的用户生成访问令牌和刷新令牌。另一个基于Web的客户端是为执行相同操作并获得ROLE_ADMIN权限的管理员等。
到目前为止效果很好。
现在,如果有任何客户端向资源服务器发送请求,会发生什么?资源服务器是否应该检查令牌的有效性?如果真是这样,那么是以哪种方式?或者auth服务器是否应该将令牌复制到资源服务器的数据库中?
答案 0 :(得分:2)
如果你@EnableResourceServer,你会得到一个检查访问令牌的过滤器。它需要与auth服务器共享TokenStore。这就是为了让事情有效。