我有一个使用春季启动oauth2.0建立一个auth服务器,并遵循david_syer模型。春季启动oauth2.0和春季安全:如何授予(权限),以通过Facebook或松懈用户登录
我的身份验证服务器不如下 - 通过像谷歌第三方OAuth提供商
让用户登录,或让用户使用的用户名和密码,我们的服务器上创建他的账户,并生成令牌。
所以,当用户使用外部的OAuth像谷歌登录,然后我简单地存储令牌和相同的(谷歌)的令牌传递给我的UI应用程序访问资源的API服务器。我有一个验证过滤器来验证令牌并允许api访问。
当用户使用用户名和密码获取令牌时,我们存储用户及其权限并为他生成令牌。现在,UI使用我们的auth服务器生成的令牌访问资源api服务器。
现在的问题是
- 这是使用外部API令牌,并使用相同的访问我们的资源API服务器的正确方法是什么?
- 如何向使用第三方oauth提供商注册的用户添加权限,因为我没有为他们添加用户输入和权限?
因此,如果用户来自永久供应商,那么加载用户和用户权限(来自UserDetailsService的loadUserByUsername())的spring安全将不会有任何问题。
有道理Mitra Ghorpade。 – Ananda