关于这段代码
来源:4-5 搭建OAuth2认证服务器
ATWJSW
2019-09-30
.and()
.withClient("orderService")
.secret(passwordEncoder.encode("123456"))
// .scopes("read")
// .accessTokenValiditySeconds(3600)
// .resourceIds("order-server");
// .authorizedGrantTypes("password");
感觉OrderService这个client只需设置client-id和client-secret就可以了。注释掉几行代码,不影响效果。
貌似OAuth2 规范对Resource Server 向 Authorization Server验证Token的协议是没有规范的,spring security oauth2采用了client id + client secret认证的方式来限制可以发Token验证的请求的来源。
写回答
1回答
-
鸢一折折纸
2019-10-12
前两行是基础配置,表明你请求token的客户端id和密码,后面几行是请求的权限的细化,配置了权限范围,令牌有效期,请求的资源id和授权模式。对于复杂的业务需要配置不同的参数得到不同的权限,例如你向qq申请获得读取用户的qq账号的权限,qq不可能把修改用户密码的权限也一起给你。
00
相似问题