CloudFoundry 的 UAA 有一个 RemoteTokenServices 类(也是 Spring oauth2 的一部分),它通过转到 UAA 服务器的 check_token 端点来进行授权令牌验证。UAA 有示例api和app应用程序,分别用作资源服务器和客户端应用程序。
从示例api 的spring-servlet.xml 中:
<bean id="tokenServices" class="org.cloudfoundry.identity.uaa.oauth.RemoteTokenServices">
<property name="checkTokenEndpointUrl" value="${checkTokenEndpointUrl}" />
<property name="clientId" value="app" />
<property name="clientSecret" value="appclientsecret" />
</bean>
你知道为什么这个类(以及需要在 Authorization 标头中编码这些值的 check_token 端点)需要一个 clientId 和一个 clientSecret 吗?在我看来,它依赖于资源服务器的客户端应用程序。如果其中一个客户端机密在此处“硬编码”,我如何使用多个客户端应用程序?