我正在计划身份验证解决方案,并试图找出哪种方法是最好的 .
该系统是移动应用程序(客户端应用程序)和带有REST api的Web平台 . 方法是使用基于令牌的身份验证 . 我的第一次尝试是Spring与OAuth2的集成 . 但是,似乎Spring Security OAuth2不支持令牌身份验证而不添加客户端凭据(根据OAuth规范仍然是有效的流量,imho) . 在我的情况下,生成客户端凭据是多余的,因为移动应用程序是系统不可或缺的一部分 . 所需的流程应如下所示:Token authentication sketch
在这种特定情况下使用Spring Security OAuth2是个好主意吗?是否可以在没有样板代码的情况下将其平滑地限制为此功能?也许在没有OAuth2模块的情况下实现此 endpoints 并使用纯Spring Security是好的吗?
在此先感谢任何见解:)