我的问题既是概念性的又是应用性的。我是一名新开发人员,试图学习Spring Boot安全性和oauth2。我一直在研究和实施Baeldung的工作,并试图对其进行扩展。我有一个正在使用他的登录/注册演示的客户端应用程序。我有可用的授权服务器和可用的资源服务器。客户端对用户进行身份验证,并且我的客户端应用已在auth服务器上注册。成功认证的自然扩展是从授权服务器获取授权码和访问令牌。在这里我遇到了问题,可能部分是因为我没有完全理解它。到目前为止,我所看到的所有演示应用程序都需要您登录auth服务器,但是由于用户已经登录了该应用程序,因此仍然需要登录到auth服务器吗?必须有无需再次登录即可将凭据传递到身份验证服务器的方法。这提出了另一个问题。我可以让auth服务器与该应用共享用户数据库,但是在现实世界中这似乎不太可能。如果我想实现不将密码发送到身份验证服务器的Google登录该怎么办。 Google提供了自己的访问令牌,因此,如果我理解正确的话,基本上就必须绕过auth服务器。
我尝试在客户端应用程序中将formlogin更改为oauth登录,但成功登录后,我无法将方法发布到登录页面。