8.5 小结
- 使用 OAuth 2 是保护 API 的常用方法,它比简单的 HTTP 基本身份验证更健壮。
- 授权服务器为客户端颁发访问令牌,以便在以下情况下代表用户行事:向 API 发出请求(或在客户端令牌流的情况下代表 API)。
- 资源服务器位于 API 前面,以验证是否存在有效的、未过期的令牌,并提供访问 API 资源所需的作用域。
- Spring Authorization Server 是一个实现 OAuth 2 的实验性质的授权服务器。
- Spring Security 支持创建资源服务器和创建客户端。从授权服务器获取访问令牌,并通过资源服务器发出请求。