Мы реализовали SPA ( Angular 5 с angular-auth-oidc ), который запрашивает id_token и access_token у поставщика OpenID Connect (на данный момент мы тестируем с помощью Google), а затем отправляем id_token на сервер ( REST API с использованием Spring Boot 5 )
Мои вопросы:
- каков подход для отправки access_token вместо id_token ?
- Как только я смогу проверить access_token ,как запросить другой access_token и refresh_token ?
- Предоставляет ли Spring Security хранилище (в памяти) для временного хранения access_token и refresh_token ?
Я использовал @EnableResourceServer для проверки id_token (jwt), и он работает, но когда я отправляю access_token (не jwt), я получаю исключение, такоекак: Invalid characters (CR/LF) in header WWW-Authenticate.