春天暴露/check_token终点;看这个链接 http://projects.spring.io/spring-security-oauth/docs/oauth2.html
For /check_token我们需要配置RemoteTokenServices它提取令牌。不过我们也可以配置UserInfoTokenServices本质上是做同样的事情。
我能看出的唯一区别是第一个是根据 OAuth 2.0 扩展:令牌内省端点,但是,根据 OAuth 2 扩展,该端点不会返回节点“活动”,这是强制性的。看这个链接 https://www.oauth.com/oauth2-servers/token-introspection-endpoint/
但除此之外,我们拥有这些端点还有其他功能原因吗?
我也有同样的问题,但我做了一些研究工作并得到了答案,希望我的回答可以帮助你。如果我有任何错误,请纠正我。
spring security oauth2 和 cloud-oauth2 有两个端点。
检查令牌:在 OAuth 2.0 扩展 Token Introspection 中定义。它的方法是 post,通过 HttpBasic 身份验证进行保护。它返回基本信息。
它是一个授权服务器端点。
用户信息_uri:在 openid-connect 中定义。
它返回个人资料信息(例如电子邮件地址和生日)。主要用于SSO登录。可以是post或get方法。
它是一个资源服务器端点。
您可以检查下面的文档来确认。
OpenID连接 https://connect2id.com/products/server/docs/api
让我从下面引用一些句子来结束这里
https://github.com/spring-projects/spring-security/issues/6342 https://github.com/spring-projects/spring-security/issues/6342
/introspect 端点和 /userinfo 端点非常不同,并且与提供程序一起用于不同的场景。
/introspect 端点接受不透明(通常)访问令牌并返回一组与该访问令牌关联的声明。
/userinfo 端点接受访问令牌并返回一组与当前经过身份验证的用户关联的声明。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
