Oauth2：资源服务器应该如何知道访问令牌是不是有效？

Posted 2023-02-27

【中文标题】Oauth2：资源服务器应该如何知道访问令牌是不是有效？

【英文标题】：Oauth2: how should the resource server know if the access token is valid?Oauth2：资源服务器应该如何知道访问令牌是否有效？

【发布时间】：2015-05-17 01:19:18

【问题描述】：

我正在使用 Spring 为我们的移动 API 实现 Ouath2 身份验证。到目前为止它可以工作，但我不知道我应该如何将资源服务器分开。所以我有一个身份验证服务器，它使用密码授权类型发出令牌和刷新令牌。这意味着用户将登录移动应用程序，该应用程序向身份验证服务器发送客户端 ID/客户端密码以及用户的 凭据，这会为具有适当 (ROLE_USER) 权限的用户生成访问令牌和刷新令牌。另一个基于 Web 的客户端适用于执行相同操作并获得 ROLE_ADMIN 权限等的管理员。

到目前为止效果很好。

现在，如果任何客户端向资源服务器发送请求，会发生什么？资源服务器是否应该检查令牌的有效性？如果真是这样，那么是以哪种方式？还是授权服务器将令牌复制到资源服务器的数据库中？

【参考方案1】：

如果您@EnableResourceServer，您将获得一个检查访问令牌的过滤器。它需要与身份验证服务器共享TokenStore。就是这样才能让某些东西发挥作用。

【讨论】：

你能告诉我是哪个过滤器吗？

github.com/spring-projects/spring-security-oauth/blob/master/…