我们希望使用我们自己的身份验证用户表来使用OAuth2的REST API . 此外,我们需要允许社交登录 . 以下是社交登录的流程,
我们的OAuth
-
客户端为我们的服务器生成身份验证和访问令牌URL以接收访问令牌
-
客户端将标头中的其他呼叫作为承载令牌发送access_token
社交登录
-
客户端对社交登录服务器(例如,https://accounts.google.com/)进行身份验证和访问令牌URL以接收访问令牌
-
客户端发送access_token以进行标头中的进一步调用 .
我们已经使用Spring实现了OAuth并且完美地运行 . 我们对社交登录有疑问,
-
如何识别我们自己的Oauth访问令牌和社交登录访问令牌 . 我们可能有很多社交登录,我们应该能够识别相应的社交登录 .
-
如何验证Spring Boot并与之集成?
1 回答
如果访问令牌只是随机字符串,您可能无法告知发行者提供的令牌,您无法验证它 .
我建议您扩展您的OAuth2服务器以接受第三方提供商(Google,Facebook ...)进行身份验证 . 这种方式可以支持本地用户和社交用户,但在您的应用程序中,您始终可以处理自己的令牌 . 它可以使应用程序安全性更容易(通常意味着更安全),您还可以配置自己的访问令牌范围 . 还准备使用它的解决方案 - 例如Keycloak .