我的目标是通过使用资源所有者密码凭据授予,通过我自己的自定义OAuth授权服务器(而不是谷歌、脸书等)来保护我的REST API。用户将通过SSL传递凭据,并取回访问令牌和刷新令牌。我遵循了本教程-http://www.beingjavaguys.com/2014/10/spring-security-oauth2-integration.html
然而,我有几个问题-
- 1-这是一个好方法吗
- 2-该教程中的用户凭据作为查询参数传递。这不是明智的做法。我怎样才能使它成为POST请求
- 3-我想在数据库中存储凭据信息并实现通过验证数据库中的用户名/密码进行自定义身份验证。(与上面教程中的方法相反凭据存储在文件中)
请提供您的见解。谢谢
1)IMHO,我认为使用授权授予而不是资源所有者密码授予。其作用相同,并且比授予资源所有者密码更安全。
2) 我认为您可以按照本教程从DB进行身份验证。