我知道资源服务器将使用令牌调用身份验证服务器以确认其有效。 但是,此令牌是否是同一个Cookie:JSESSIONID?
答案 0 :(得分:1)
Oauth 2.0 Bearer令牌有两种类型-常规令牌(例如java uuid字符串)和JWT令牌。 通用令牌将与它们的范围,到期时间,客户端ID,UserId和其他相关信息一起存储在授权服务器令牌存储中。当客户端向资源服务器发送请求时,资源服务器需要联系授权服务器(Spring oauth 2.0)以进行承载令牌验证。 JWT令牌包含有关其到期时间的信息以及其他足以在无状态会话中工作的用户信息,这里我们不需要从授权服务器验证oauth 2.0 JWT令牌。 JSESSIONID Cookie是默认由Spring Security创建的,它与Bearer令牌授权无关。
答案 1 :(得分:0)
标准解决方案是自省请求,如本文第14步:https://authguidance.com/2017/09/26/basicspa-oauthworkflow/
尽管并非所有解决方案都是基于标准的-我始终建议捕获HTTP流量