我发现了大量关于如何使用外部 oauth2 提供程序(谷歌、Facebook 等)为使用 Spring Security 的 Spring Boot 应用程序登录应用程序的信息。所有示例都允许您从列表(Google、Facebook、Twitter)中选择一个提供者,然后在流程结束时拥有一个经过身份验证的用户。我无法弄清楚,是否可以将授权阶段与 Spring Security 中的身份验证阶段分离?
让我用一个例子更好地解释一下:我想创建一个社交媒体聚合器应用程序,用户可以使用本地用户名/密码(或使用 Google/Github/Microsoft 等外部服务)登录,然后他们可以提供授权使用多个其他外部服务的 API(Facebook、Twitter、Instagram)。该应用程序将存储接收到的身份验证令牌以检索所有社交媒体配置文件并收到新活动的通知。