Spring oauth2 验证令牌请求

Posted

技术标签:

【中文标题】Spring oauth2 验证令牌请求【英文标题】:Spring oauth2 validate token request 【发布时间】:2013-04-11 13:19:57 【问题描述】:

oauth2RestTemplate 或访问令牌提供程序是否支持验证令牌请求?

流程如下:

    从第三方认证服务器认证的移动/Web-App 并获得Access-Token。 用户尝试访问受保护的资源,并按照协议的预期在请求中传递了访问令牌。

是否可以针对第三方服务器检查此令牌?

我发现有点类似here,都是刷新令牌的形式。

验证请求是 OAuth2 标准的一部分吗?

谢谢

【问题讨论】:

【参考方案1】:

不,OAuth2 不强制使用特定的令牌格式或 API 来验证令牌。这是必须在资源服务器和授权服务器之间独立决定的事情。

例如,UAA 项目使用 Spring Security OAuth2,使用签名的JWT 令牌,因此资源服务器可以验证内容,而无需直接询问授权服务器。它还提供了一个/check_token 端点,它将解码令牌并验证它是否没有过期。

【讨论】:

以上是关于Spring oauth2 验证令牌请求的主要内容,如果未能解决你的问题,请参考以下文章

Spring oauth2令牌请求中未实际使用的基本身份验证过滤器和身份验证入口点

Spring oauth2服务器,无法验证令牌

Spring Oauth2:在 SecurityContext 中找不到身份验证对象

Spring以编程方式生成oauth2访问令牌

在Spring中进行oAuth2令牌验证/验证

使用令牌的 Spring OAuth2 身份验证