我有一個使用春季啓動oauth2.0建立一個auth服務器,並遵循david_syer模型。春季啓動oauth2.0和春季安全:如何授予(權限),以通過Facebook或鬆懈用戶登錄
我的身份驗證服務器不如下 - 通過像谷歌第三方OAuth提供商
讓用戶登錄,或讓用戶使用的用戶名和密碼,我們的服務器上創建他的賬戶,並生成令牌。
所以,當用戶使用外部的OAuth像谷歌登錄,然後我簡單地存儲令牌和相同的(谷歌)的令牌傳遞給我的UI應用程序訪問資源的API服務器。我有一個驗證過濾器來驗證令牌並允許api訪問。
當用戶使用用戶名和密碼獲取令牌時,我們存儲用戶及其權限併爲他生成令牌。現在,UI使用我們的auth服務器生成的令牌訪問資源api服務器。
現在的問題是
- 這是使用外部API令牌,並使用相同的訪問我們的資源API服務器的正確方法是什麼?
- 如何向使用第三方oauth提供商註冊的用戶添加權限,因爲我沒有爲他們添加用戶輸入和權限?
因此,如果用戶來自永久供應商,那麼加載用戶和用戶權限(來自UserDetailsService的loadUserByUsername())的spring安全將不會有任何問題。
有道理Mitra Ghorpade。 – Ananda