Oauth刷新令牌授予类型

问题描述 投票:0回答:1

我正在学习Oauth授权类型,我观察到刷新令牌只适用于授权代码和资源所有者密码凭证授权,我的问题是为什么它只适用于授权代码和资源所有者密码凭证授权,而不适用于隐式和客户凭证授权?我的问题是,为什么它只适用于授权码和资源所有者密码凭证授予,而不适用于隐式和客户端凭证授予?

spring-boot spring-security oauth oauth-2.0 spring-security-oauth2
1个回答
1
投票

刷新令牌 应该只发给使用时能进行身份验证的客户端。

授权码授予的目的是由 机密客户 可以保密的客户端)。而刷新令牌的使用应该使用客户端凭证进行认证。

资源所有者密码凭证流发出刷新令牌,这样客户端就不用把用户的用户名和密码放在身边。它可以使用刷新令牌来获得新的访问令牌。

隐式授予的目的是为了让公共客户端(他们不能保守秘密)使用。由于他们无法保密,所以这些客户端没有办法让客户端凭证与刷新授予一起使用。

最后,客户端凭证流不需要刷新令牌,因为当旧的访问令牌过期时,它可以只使用客户端凭证来获得新的访问令牌。

0
投票

如果您使用的是 v5,您可以使用 https:/docs.spring.iospringdocs5.0.0.M5_to_5.0.0.RC1Spring%20Framework%205.0.0.RC1orgspringframeworkwebcorsCorsConfiguration.html。

CorsConfiguration#applyPermitDefaultValues(默认值)

或者您可以使用

@RestController
@CrossOrigin(origins = "*", methods= {RequestMethod.GET,RequestMethod.POST})
public class HelloRESTController {
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.