0

我有 2 个网络应用程序:

  1. 资源服务器 (@EnableResourceServer)
  2. 身份验证应用程序(@EnableAuthorizationServer)

它们被映射到一个数据库。

我想将数据库拆分为 2:一个用于客户端应用程序,第二个用于令牌。

Question: How client app should be configured correctly with oauth?

我目前的流程:

  • 资源服务器获取带有令牌的请求
  • 春季安全检查数据库中的令牌

最好的流程可能是隔离身份验证应用程序和数据库,流程应该是这样的:

  • 资源服务器获取请求令牌
  • 并且资源服务器向身份验证 Web 应用程序(OAuth 服务器)发出请求以验证令牌
  • auth app (OAuth Server) spring 安全检查数据库中的令牌

?

如果我对 oauth 有任何误解,请告诉我。谢谢。

4

1 回答 1

1

如果您想使用身份验证服务器检查令牌,您需要一个RemoteTokenServices(或等效的)。如果服务器是 Spring Oauth 服务器(使用@EnableAuthorizationServer),则应该有一个 /check_token 端点。

注意阅读规范并直接了解术语可能是个好主意(您的“客户端应用程序”是“资源服务器”。

于 2014-10-08T12:12:45.443 回答