我想使用 Spring Security 设置一个中央身份验证/授权服务器,我可以从中获取 JWT 令牌,然后我可以使用它来访问另一个 Spring Security 备份的 REST 服务器上的受限资源。
这是我的流程:
1) HTML JS / Mobile 等客户端在身份验证服务器上进行身份验证以获取 JWT 令牌 2) 客户端将此令牌在 HTTP 标头中发送到 REST 服务器以获得对安全资源的访问权限
我认为 JWT 最适合这种情况,因为它可以包含所有相关数据,并且 REST 服务器可以是完全无状态的,只需解码令牌即可在 REST 服务器上获取所有必要的数据(角色、客户端 ID、电子邮件......)。
Oauth2 是正确的选择吗?如果是这样,有人可以指出我正确的方向吗?如果 JWT 不是正确的选择,我愿意接受其他解决方案:) 我应该提到,在我的情况下,也可以在 REST 服务器上从数据库加载客户端信息,但它不应该负责验证用户(意味着没有用户名/密码检查,只是令牌解码/验证......)