userApprovalHandler :如果您的系统中只有一个客户端,则我同意用户不必批准该客户端访问其数据。
oauthAuthenticationEntryPoint
:通常,如果身份验证失败,则响应类型为JSON。文档说:“如果身份验证失败,并且呼叫者请求了特定的内容类型响应,则此入口点可以发送一个消息以及标准的401状态。”
clientCredentialsTokenEndpointFilter
:发出访问令牌是一个两步过程。首先,将用户发送到资源服务器进行身份验证。客户端最好使用HTTP标头(密钥+机密)对重定向进行身份验证。作为回报,客户端获得一个代码,可以将其交换为令牌。您不直接将密钥+秘密交易为令牌,因为它不包含来自用户的批准。
resourceServerFilter :如果您有许多不同的资源,我 认为这样做 的目的是指示哪些客户端可以访问哪些资源。
accessDecisionManager :对于OAuth2,您需要一个ScopeVoter,因此默认的Manager不够好。
通常
:如果您只有一个客户端代表用户访问资源,那么也许考虑使用Digest而不是OAuth2?而且,如果您只想验证客户端(而不是用户),则OAuth2会显得过高。OAuth2中的客户端身份验证实际上与基于https的基本身份验证相同。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)