是否有 OAuth 的资源所有者密码流程的 Java 提供程序实现或要包含在我的项目中的库?
我已经读到 Spring Security 为这些库提供了服务器或提供程序实现,我可以只将这些 Spring 库包含到我的标准 Java EE 项目中而不使用完整的 Spring 堆栈吗?
是否有可能或合理地按照 RFC 为该流程实施 OAuth 提供者和客户端?
【问题讨论】:
标签: java spring oauth spring-security
UAA 项目使用 Spring Security 的 OAuth 提供者来实现完整的 OAuth2 授权服务器(包括资源所有者授权)。为什么不使用它?
如果不使用 Spring,就不能“只将那些 Spring 库包含到我的标准 Java EE 项目中”。从您的问题中并不清楚您希望它如何工作。例如,授权服务器将在哪里实现?
当然可以自己实现 OAuth2 提供程序,尤其是在您只使用规范的一部分时,但如果它只是您的主要应用程序开发的附带条件,那么它并不是微不足道的,而且可能不“合理”。
当您的资源服务器被从授权服务器获取令牌的应用程序访问时,您仍然需要考虑如何保护它们。换句话说,他们需要能够检查和理解所颁发的令牌,并根据它做出访问决策。
【讨论】: