Java Spring Security OAuth2服务器端,如何在所有请求上要求客户端id和客户端机密
我正在与SpringSecurityOAuth2集成,我一直在尝试为每个请求要求客户机id和客户机机密。所以我希望我的所有请求都需要访问令牌、客户端id和客户端机密,这可行吗?任何事情都有可能。我不确定您为什么要这样做(并且您确实不应该使用请求参数或机密体),但您所需要的只是添加一个自定义过滤器,以获取客户机详细信息并对其进行断言。例如,类似于Java Spring Security OAuth2服务器端,如何在所有请求上要求客户端id和客户端机密,java,spring,spring-security,spring-security-oauth2,Java,Spring,Spring Security,Spring Security Oauth2,我正在与SpringSecurityOAuth2集成,我一直在尝试为每个请求要求客户机id和客户机机密。所以我希望我的所有请求都需要访问令牌、客户端id和客户端机密,这可行吗?任何事情都有可能。我不确定您为什么要这样做(并且您确实不应该使用请求参数或机密体),但您所需要的只是添加一个自定义过滤器,以获取客户机详细信息并对其进行断言。例如,类似于基本身份验证过滤器的东西。我明白了,谢谢。为什么我不应该使用参数或主体作为机密?即使我使用https也不行?最好不要。它们更有可能以不受控制的方式被记录和
基本身份验证过滤器的东西。我明白了,谢谢。为什么我不应该使用参数或主体作为机密?即使我使用https也不行?最好不要。它们更有可能以不受控制的方式被记录和披露。我真的很困惑,我们应该如何将机密发送到服务器进行身份验证?资源服务器不负责对客户端进行身份验证-它信任在访问令牌中找到的内容。授权服务器必须对客户端进行身份验证(通常通过HTTP Basic-即在请求头中)。哦,我明白你现在说的了。这很有道理。那么,如果我想限制对少数客户端的访问,但资源本身不受保护,即它们不属于资源所有者,那么我应该如何实现我的用例呢。