如何验证oAuth2 access_token是否由Spring security中的同一客户端使用?
如何验证oAuth2 access_token是否由Spring security中的同一客户端使用?
提问于 2017-09-08 14:34:22
我开发的Spring REST API将作为后端。它将被web应用程序和移动应用程序访问。为了使这个API安全,我使用了Spring的oAuth2身份验证。我知道通过使用这种架构,我的应用程序接口是安全的,但是,有没有办法检查access_token是否从发出它的相同客户端(应用程序)使用?
回答 2
Stack Overflow用户
发布于 2017-09-08 15:07:54
在开发类似的应用程序时(虽然不是在Spring中),我遇到了一些类似的问题。我决定暂时做的是为每个用户请求生成一个新的令牌,并将其作为响应头进行传递。这至少意味着用户不可能同时从两个不同的客户端登录。
不过,我不确定这对你是否有帮助。我很有兴趣看看这里还会提供什么其他解决方案。
Stack Overflow用户
发布于 2017-09-08 16:12:52
正如您所解释的,在您的场景中,不需要检查access_token是否从接收它的客户端使用(发送)。您可以使用JWT (JSON Web Token)应用服务器到服务器的OAuth2身份验证来验证客户机(应用程序)。这样,access_token将只与具有有效JWT的受信任客户端一起工作。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/46110066
复制相关文章
相似问题
腾讯云开发者
