我使用Spring Security来保护我的端点。
我的问题是,当用户使用有效/无效的访问令牌时,是否有可能做出不同的响应?
例如,对于单个/ api / info
(1)当请求中传递了无效/过期的访问令牌时,将仅返回非常有限的信息 (2)当在请求中传递有效的访问令牌时,根据不同的用户返回非常自定义且丰富的内容。
我尝试使用access=permitAll(),但它不起作用,因为无效令牌无法通过oauth2验证。
使用security="none"也无效,因为它根本不会尝试获取用户信息。
答案 0 :(得分:0)
编写自定义OAuth2AccessDeniedHandler并使用/info XML标记或类似Java配置将其插入security:access-denied-handler端点。