我正在开发一个带有spring boot后端的应用程序,我希望使用隐式流程来保护OAuth2。前端将是有角度的(SPA)。对于初始阶段,我将在同一实例上具有授权和资源服务器,但希望以后能够将其分离。
我确实理解授权服务器上的授权“发生”,然后使用令牌访问资源。但是如何将新用户添加到系统中?在授权服务器或资源服务器上是否应该注册(密码重置等)端点? 将它放在授权服务器上是有意义的,因此当我添加使用它的新应用程序时,将能够向系统添加新用户。 从其他角度来看,授权服务器应仅用于授权,因此可以将用户创建委派给资源服务器。
答案 0 :(得分:0)
通常注册过程是在资源服务器中实现的,因此这个端点和类似的端点(如检索忘记的密码,重置密码等等)都存在于资源服务器中,因为它们是应用程序逻辑的一部分,不属于授权本身。