是否有 OAuth 的资源所有者密码流程的 Java 提供程序实现或要包含在我的项目中的库?
我已经读到 Spring Security 为这些库提供了服务器或提供程序实现,我可以只将这些 Spring 库包含到我的标准 Java EE 项目中而不使用完整的 Spring 堆栈吗?
遵循 RFC 为该流程实施 OAuth 提供者和客户端是否可能或合理?
是否有 OAuth 的资源所有者密码流程的 Java 提供程序实现或要包含在我的项目中的库?
我已经读到 Spring Security 为这些库提供了服务器或提供程序实现,我可以只将这些 Spring 库包含到我的标准 Java EE 项目中而不使用完整的 Spring 堆栈吗?
遵循 RFC 为该流程实施 OAuth 提供者和客户端是否可能或合理?
UAA项目使用 Spring Security的OAuth 提供者来实现完整的 OAuth2 授权服务器(包括资源所有者授权)。为什么不使用它?
如果不使用 Spring,就不能“只将那些 Spring 库包含到我的标准 Java EE 项目中”。从您的问题中并不清楚您希望它如何工作。例如,授权服务器将在哪里实施?
自己实现 OAuth2 提供者当然是可能的,特别是如果您只使用规范的一部分,但如果它只是您的主要应用程序开发的附带条件,那么它并不是微不足道的,而且可能不是“合理的”。
当应用程序从授权服务器获得令牌时,您仍然需要考虑如何保护您的资源服务器。换句话说,他们需要能够检查和理解所发行的令牌并根据它做出访问决定。