我有两个关于spring oauth2的查询-
1)使用客户端凭据授予类型,作为/ oauth / token调用的一部分,是否可以通过远程服务调用来验证客户端ID和密码,而不是在维护客户端凭据时在数据库或内存中维护客户端凭据在远程系统中?如果客户端凭据在远程系统中维护,令牌仍可以在我的应用程序中(在内存或数据库中)维护吗?
2)在为移动/本地应用构建REST后端时,应使用哪种授权类型,以便能够为每个登录用户生成唯一的令牌,从而使一个登录用户无法使用生成的令牌对于另一个登录用户?
关于,雅各布
password和refresh_token授予。有关示例配置,请参见https://github.com/wimdeblauwe/spring-boot-building-api-backend/blob/master/chapter05/02%20-%20Oauth%20configurable/src/main/java/com/example/copsboot/infrastructure/security/OAuth2ServerConfiguration.java#L80。 如果您想对其进行深入的说明,请参阅Practical Guide to Building an API Back End with Spring Boot(免责声明:我是作者)