首先要提醒我的一点是,我对oauth和Spring都是非常陌生的,所以我很有可能弄乱了一些概念。
我有一个预先存在的rest api,它使用非spring框架作为我的资源服务器,我使用Spring Security框架为其构建了一个简单的身份验证服务器。当前,我需要找到一种方法来验证发送到资源服务器的访问令牌。我在网上找到的几乎所有示例都假定我构建的REST API也在使用Spring,并且它过滤的内容目前还不是我的情况。 我正在考虑一些方法,但是由于我仍然不熟悉此方法,因此我不确定这是否是正确的处理方法,或者我是否正在实施任何安全措施:
我使用资源服务器的过滤器,以便每当它收到rest调用时,就简单地使它自己使用令牌对身份验证服务器进行rest调用。根据该第二个调用的输出来授予访问权限。
由于我同时拥有资源和身份验证服务器,因此有可能使资源服务器直接访问身份验证服务器将创建的令牌放入其中的令牌存储,并检查该令牌是否存在并且尚未过期。 / p>
我所有的方法都是错误的,应该重新考虑,而不是使用spring安全框架来构建身份验证服务器,而是为其寻找另一个框架/工具。