Я новичок в OAuth 2.0 и пытаюсь разработать приложение с использованием стороннего поставщика OAuth с потоком предоставления кода авторизации в качестве сервера авторизации и Spring Security.Этот провайдер предоставляет мне две конечные точки /authorize и /token, и эти две, после того как пользователь авторизует свой доступ, вернут токен доступа.
Пока что я защитил конечную точку "/", поэтомуприложение перенаправляет пользователя на страницу авторизации, а затем в конечной точке обратного вызова сохраняет токен, чтобы его можно было проверять с помощью фильтра в каждом запросе.
Но, поскольку приложение в основном представляет собой набор API REST,мы хотим иметь возможность протестировать его с помощью Postman, при этом на Postman я получаю токен, устанавливая авторизацию как OAuth 2.0 и запрашивая токен непосредственно со сторонних конечных точек, но, поскольку Postman имеет свой собственный URI обратного вызова,мое приложение не хранит сгенерированный токен.
Итак, два моих вопроса по этому вопросу:
- Использование конечной точки / callback для хранения токена и проверка его перед каждым запросомФильтр это обычный способ сделать это?
- Чтобы использовать Почтальон, я должен создать конечную точку для хранения сгенерированного токенав стороне от контекста приложения или я должен создать собственный Сервер авторизации в качестве дополнительного слоя поверх этой сторонней AS?