Java 如何验证oAuth2 access_令牌是否由Spring security中向其发出令牌的同一客户机使用？_Java_Spring_Spring Security_Oauth 2.0

Java 如何验证oAuth2 access_令牌是否由Spring security中向其发出令牌的同一客户机使用？

java spring spring-security oauth-2.0

Java 如何验证oAuth2 access_令牌是否由Spring security中向其发出令牌的同一客户机使用？,java,spring,spring-security,oauth-2.0,Java,Spring,Spring Security,Oauth 2.0,我已经开发了SpringRESTAPI作为后端。它将被web应用程序和移动应用程序访问。为了使这个API安全，我使用了Spring的oAuth2身份验证。我知道通过使用这种体系结构，我的API是安全的，但是，还有什么方法可以检查access_令牌是否是从同一个客户端（应用程序）使用的呢？在开发类似的应用程序时（不是在春季），我遇到了一些相同的问题。我现在决定做的是在每个用户请求上生成一个新的令牌，并将其作为响应头传递。这至少意味着用户不可能同时从两个不同的客户端登录我不确定这是否对你有帮助。

我已经开发了SpringRESTAPI作为后端。它将被web应用程序和移动应用程序访问。为了使这个API安全，我使用了Spring的oAuth2身份验证。我知道通过使用这种体系结构，我的API是安全的，但是，还有什么方法可以检查access_令牌是否是从同一个客户端（应用程序）使用的呢？

在开发类似的应用程序时（不是在春季），我遇到了一些相同的问题。我现在决定做的是在每个用户请求上生成一个新的令牌，并将其作为响应头传递。这至少意味着用户不可能同时从两个不同的客户端登录

我不确定这是否对你有帮助。我很想看看这里还有什么其他的解决方案

正如您所解释的，在您的场景中，不需要检查是否使用（发送）了向其发出的客户端的access_令牌。您可以使用JWT（JSON Web令牌）应用服务器到服务器OAuth2身份验证来验证客户端（应用程序）。这样，access_令牌将仅与具有有效JWT的受信任客户端一起工作