Хорошо, в первую очередь, в качестве предостережения, я ОЧЕНЬ новичок как в oauth, так и в Spring, поэтому есть хороший шанс, что я ввожу беспорядок в концепциях.
У меня есть уже существующий api rest, использующий не-Spring в качестве моего сервера ресурсов, я построил для него простой сервер аутентификации с помощью Spring Security framework. В настоящее время мне нужно найти способ проверить токен доступа, отправленный на сервер ресурсов. Почти все примеры, которые я нахожу в Интернете, предполагают, что созданный мной REST API также использует Spring и фильтрует то, что в настоящее время не является моим случаем. Я рассматриваю некоторые подходы, но, поскольку я все еще новичок в этом, я не совсем уверен, правильный ли это способ действий или я совершаю какие-либо ошибки безопасности:
Я использую фильтрует мой сервер ресурсов, чтобы всякий раз, когда он получает вызов отдыха, он просто делает собственный вызов отдыха серверу аутентификации с помощью токена. Доступ предоставляется в зависимости от вывода этого второго вызова.
Поскольку я владею и ресурсом, и сервером аутентификации, я потенциально могу сделать так, чтобы сервер ресурсов напрямую обращался к хранилищу токенов, где находится сервер аутентификации помещает созданный токен и проверяет, существует ли такой токен и срок его действия не истек.
Все мои подходы неверны, и следует подумать о том, чтобы снова начать с нуля и не использовать пружинную безопасность framework для создания сервера аутентификации, но вместо этого ищите для него другую структуру / инструмент.