我们正在使用@EnableResourceServer注释为我们的所有API应用安全过滤器。我们正在使用 Spring OAuth2和JWT令牌。我们使用客户端凭证令牌(使用客户端ID和客户端密钥获取)和用户令牌(使用名称/密码)
我们希望使用客户端JWT令牌保护某些端点(**/clientTokenAllowed/myapi),而其他所有端点都需要用户JWT令牌。
我应该在过滤器中将此验证检查放在哪里?无法找到正确的示例来执行此操作。
答案 0 :(得分:0)
在Spring Security OAuth中,您可以在ResourceServer HTTPSecurity配置中使用#oauth2.hasScope(),#oauth2.isUser(),#oauth2.isClient()等表达式。更像这些表达式可以找到here
因此,在您的情况下,您可能希望使用#oauth2.isUser()和#oauth2.isClient()。