我有一个要使用客户端凭据通过oauth2保护的REST API。 我无法在令牌中放入新的“作用域”(我无法控制Auth服务器)。
@EnableResourceServer一切正常。我得到了令牌,RemoteTokenServices负责与身份验证服务器验证令牌是否有效。
令牌有效的事实并不意味着我要每个client_id 访问我的应用。
如何检查client_id是否在允许的范围之内?
我当时在考虑ClientDetailsService,但这似乎仅用于@EnableAuthorizationServer。