我想保护我的 Spring RESTful 后端。一种方法(对吗?)是使用 OAuth 2.0,如下所示:
http://www.youtube.com/watch?v=8uBcpsIEz2I
在我的架构中,资源服务器和授权服务器不是同一个实体。我真的只是提供一些 JSON REST 服务。没有用户界面。如果我阅读OAuth2 RFC,他们只会说:
授权服务器和资源服务器之间的交互超出了本规范的范围。授权服务器可以是与资源服务器相同的服务器,也可以是单独的实体。单个授权服务器可以发布多个资源服务器接受的访问令牌。
我在cloudfoundry.com上找到了一个很好的图表(与上面的 youtube 视频相关),我用它来说明我的观点:
“令牌”提供者:例如,这可能/应该是 google 或 facebook。
RESTful 后端:这实际上是我的代码。Spring RESTful 服务,例如:
@Controller
@RequestMapping("/api/v1")
public class MyResourceToProtect {
@Autowired
private MyService service;
@RequestMapping(value = "/resource/delete/{name}",
method = RequestMethod.DELETE,
consumes = MediaType.APPLICATION_JSON_VALUE,
headers = "Content-Type=application/json")
@ResponseStatus(HttpStatus.OK)
public void delete(@PathVariable("name") String name) {
service.delete(name);
}
}
(这只是一些示例代码)
现在我的问题是:是否有可能验证由 AuthServer(Facebook、Google)生成的访问令牌?我知道我需要在 ResourceServer 的某处有一个“用户令牌”映射(数据库)。基本上,我想设计我的 RESTful API,就像来自 PayPal 的 API:
https://developer.paypal.com/webapps/developer/docs/integration/direct/make-your-first-call/
但是,如果我想使用 Facebook 或 Google 作为身份验证提供者,我该如何处理步骤 1 和 2?这甚至可能吗?
额外的想法:可能我需要提供自己的/oauth2/token端点,然后委托给底层的 AuthProvider。