1

OLTU 在其有限的文档中有一个基于生成的 UUID 提供访问令牌的示例。请参阅令牌端点下的此处

这里还有一个使用 JWT(Java Web 令牌)进行服务器到服务器授权的示例但仅作为授权授予请求中的不记名令牌

如今,使用 JWT 作为访问令牌本身是很常见的(节省了对授权服务器的不必要的访问)

OLTU 开箱即用不提供此功能是否有任何原因?实现自定义解决方案似乎很容易,但我希望有一个基于 JWT 的ValueGenerator 接口实现,以便令牌发行者的标准实现OAuthIssuerImpl可以生成一个。

有人用 OLTU 做这个吗?

4

1 回答 1

0

问题是,OAuth 的规范并不强制使用 JWT,因此 Oltu 的实现,尊重规范并旨在尽可能合规,使用不包含任何超出规范信息的随机字符串它。

规格

根据资源服务器的安全要求,访问令牌可以具有不同的格式、结构和使用方法(例如,加密属性)。访问令牌属性和用于访问受保护资源的方法超出了本规范的范围

于 2017-05-03T13:57:25.607 回答