我有一个RESTFul API,由Spring Security使用OAuth2使用资源所有者凭据授权和JWT令牌进行保护。这种方案在进入内部客户端时工作得非常好,而且由于其无状态性质而被特别选择,现在我想允许第三方开发人员与我的API集成,因为上述授权不是最佳解决方案,而是隐含和/或授权代码方案将是首选。
在检查了不同的Spring Security示例后,我看到无论何时使用隐式或授权代码,身份验证都是状态已满,如果我错了,请纠正我,但是OAuth2规范没有指定需要会话那一步。
所以我的问题是:
最佳,