Spring boot 在spring security oauth2中，令牌验证期间从资源服务器向身份验证服务器发送的确切内容是什么_Spring Boot_Spring Security_Oauth 2.0_Spring Security Oauth2

Spring boot 在spring security oauth2中，令牌验证期间从资源服务器向身份验证服务器发送的确切内容是什么

spring-boot spring-security oauth-2.0

Spring boot 在spring security oauth2中，令牌验证期间从资源服务器向身份验证服务器发送的确切内容是什么,spring-boot,spring-security,oauth-2.0,spring-security-oauth2,Spring Boot,Spring Security,Oauth 2.0,Spring Security Oauth2,我知道资源服务器将使用令牌调用身份验证服务器以确认其有效性。但是，该令牌是否与Cookie:JSESSIONID相同？Oauth 2.0承载令牌分为两种类型-通用令牌（例如java uuid字符串）和JWT令牌。一般令牌将与其作用域、到期日、客户端ID、用户ID和其他相关信息一起存储在授权服务器令牌存储中。当客户端向资源服务器发送请求时，资源服务器需要联系授权服务器（SpringOAuth2.0）进行承载令牌验证。 JWT令牌包含关于其到期的信息以及其他用户信息，并且能够在无状态会话中自给自

我知道资源服务器将使用令牌调用身份验证服务器以确认其有效性。

但是，该令牌是否与Cookie:JSESSIONID相同？

Oauth 2.0承载令牌分为两种类型-通用令牌（例如java uuid字符串）和JWT令牌。一般令牌将与其作用域、到期日、客户端ID、用户ID和其他相关信息一起存储在授权服务器令牌存储中。当客户端向资源服务器发送请求时，资源服务器需要联系授权服务器（SpringOAuth2.0）进行承载令牌验证。 JWT令牌包含关于其到期的信息以及其他用户信息，并且能够在无状态会话中自给自足，这里我们不需要验证来自授权服务器的oauth 2.0 JWT令牌。

默认情况下，JSESSIONID Cookie是由spring security创建的，它与承载令牌授权无关。

标准解决方案是一个自省请求，如本文的步骤14所示：

不过，并非所有的解决方案都是基于标准的——我始终建议捕获HTTP通信量，正如您所提到的，它发送令牌，还发送身份验证头。JSSessionID与发送检查令牌端点的请求无关。客户端从生成此令牌的授权服务器接收令牌（不涉及JSSessionID）然后存储在适当的令牌存储中，然后客户机使用该令牌对资源服务器进行api调用……是的，我实际上理解这个过程，当它是jwt令牌时，我过去使用过那个令牌。当您不使用jwt时，资源服务器如何知道您是谁？我是否仍应看到标题“Authorization:Bearer xxxxxx”，但xxxx将不是jwt令牌？@Funzo:如果您未使用jwt，则随机访问令牌（即xxxx）字符串不包含用户信息，在这种情况下，将使用授权服务器（oauth 2.0服务器）的验证令牌端点来验证令牌，成功验证后，此endoint将返回用户ID和用户范围，可进一步用于控制资源访问。