我目前正在嘗試使用Spring Security OAuth實現OAuth2身份驗證的Web服務(API)。據我瞭解,給用戶,客戶端應用程序和服務器,認證過程如下:Spring中OAuth2中的身份驗證類型:如何通過用戶憑據進行身份驗證?
- 用戶通過客戶端向服務器請求資源
- 客戶端檢索來自服務器
- 服務器請求令牌用臨時請求令牌和重定向URL進行響應客戶端加載網頁(重定向URL)並允許用戶輸入憑據以驗證請求令牌。表單輸入發送到服務器,輸入對客戶端是未知的。
- 服務器與授權代碼,這是交給客戶回覆
- 客戶端使用授權碼來獲取訪問令牌(以及可選,如果請求一個刷新令牌)
- 用戶手中訪問令牌客戶端
- 客戶端使用的訪問令牌來檢索請求的資源
在春天的OAuth,有三種補助類型request an access token:
Authorizat離子碼,這是我上面描述的方法,刷新標記和用戶憑證。我不知道如何通過用戶憑據檢索工作,是否類似於通過刷新令牌檢索?