0

我有兴趣实现单独的资源和授权服务器。从这里了解,要使其工作,“令牌必须可以由资源服务器在本地解码,或者它必须与身份验证服务器共享存储。” 将近 2.5 年后,我希望资源服务器可以在不与授权服务器共享数据源的情况下将令牌解析为 Principal。如问题所述,RemoteTokenServices是实现此目的的唯一方法吗?如果是这样,“/check_token”的响应应该是什么?

4

1 回答 1

3

RemoteTokenServices不是唯一的方法(但加入一点缓存可能是一个非常好的解决方案),2.5 年前也不是。开箱即用支持的另一个选项是 JWT 令牌(例如https://github.com/spring-projects/spring-security-oauth/tree/master/tests/annotation/jwt)。

于 2014-10-23T20:00:59.570 回答