是否有 OAuth 的资源所有者密码流程的 Java 提供程序实现或要包含在我的项目中的库?
我已经读到 Spring Security 为这些库提供了服务器或提供程序实现,我可以只将这些 Spring 库包含到我的标准 Java EE 项目中而不使用完整的 Spring 堆栈吗?
遵循 RFC 为该流程实施 OAuth 提供者和客户端是否可能或合理?
问问题
512 次
1 回答
0
UAA项目使用 Spring Security的OAuth 提供者来实现完整的 OAuth2 授权服务器(包括资源所有者授权)。为什么不使用它?
如果不使用 Spring,就不能“只将那些 Spring 库包含到我的标准 Java EE 项目中”。从您的问题中并不清楚您希望它如何工作。例如,授权服务器将在哪里实施?
自己实现 OAuth2 提供者当然是可能的,特别是如果您只使用规范的一部分,但如果它只是您的主要应用程序开发的附带条件,那么它并不是微不足道的,而且可能不是“合理的”。
当应用程序从授权服务器获得令牌时,您仍然需要考虑如何保护您的资源服务器。换句话说,他们需要能够检查和理解所发行的令牌并根据它做出访问决定。
于 2013-10-09T15:29:55.720 回答