尝试查找{spring} oauth中autoApprove所做的事情,这里有一个题为Skip OAuth user approval in Spring Boot OAuth2
的问题。用户批准是否与用户身份验证相同。换句话说,当客户端的autoApprove设置为true时,会跳过用户身份验证吗?
答案 0 :(得分:0)
身份验证和批准不一样,请参阅RFC6749:
<强> 4.1.1。授权请求
[...] 授权服务器验证请求以确保全部 必需参数存在且有效。如果请求有效, 授权服务器对资源所有者进行身份验证并获取 授权决定(通过询问资源所有者或通过 通过其他方式建立批准。)
建立决策后,授权服务器会指示 用户代理使用HTTP提供的客户端重定向URI 重定向响应,或通过其他方式可用的方式 用户代理。
Spring OAuth2 autoApprove跳过批准(通过其他方式建立批准),请参阅UserApprovalHandler.html#checkForPreApproval:
提供允许预先批准请求的挂钩(跳过用户批准页面)。某些实现可能允许用户存储批准决策,以便他们只需批准一次站点。在将用户发送到Approval页面之前,在AuthorizationEndpoint中调用此方法。如果此方法将oAuth2Request.approved设置为true,则将跳过“批准”页面。
另见: