关于这段代码

来源:4-5 搭建OAuth2认证服务器

ATWJSW

2019-09-30

		.and()
			.withClient("orderService")
			.secret(passwordEncoder.encode("123456"))
			// .scopes("read")
			// .accessTokenValiditySeconds(3600)
			// .resourceIds("order-server");
			// .authorizedGrantTypes("password");

感觉OrderService这个client只需设置client-id和client-secret就可以了。注释掉几行代码,不影响效果。

貌似OAuth2 规范对Resource Server 向 Authorization Server验证Token的协议是没有规范的,spring security oauth2采用了client id + client secret认证的方式来限制可以发Token验证的请求的来源。

写回答

1回答

鸢一折折纸

2019-10-12

前两行是基础配置,表明你请求token的客户端id和密码,后面几行是请求的权限的细化,配置了权限范围,令牌有效期,请求的资源id和授权模式。对于复杂的业务需要配置不同的参数得到不同的权限,例如你向qq申请获得读取用户的qq账号的权限,qq不可能把修改用户密码的权限也一起给你。

0
0

Spring Cloud微服务安全实战 可落地的安全方案

从API到复杂微服务场景,实战部署可落地的安全方案。

1029 学习 · 370 问题

查看课程