我正在尝试使用Spring Security oauth2和JsonWebToken实现身份验证。
对于外部应用程序,我计划使用“授权代码授予流程”,但对于受信任的前端,我们要使用“资源所有者密码凭据授予流程”。
JWT应该保存在UI服务器的会话中 - 也就是UI服务器保存客户端凭证 - 它们不会暴露给客户端。因此用户登录UI服务器。服务器使用auth服务器的令牌端点请求JsonWebToken,将其转换为OAuth2Authentication并将其存储在SecuritContextHolder中。
我使用自定义控制器登录方法实现了这一点。但我希望能够使用@EnableOauth2Sso
并避免自定义实现。我看到了几个如何使用“授权代码授权流程”执行此操作的示例 - 例如此https://spring.io/guides/tutorials/spring-security-and-angular-js/ - 但没有关于“资源所有者密码凭据授予流程”的文档和教程。
任何提示?