Я добавляю простой веб-сервис в старое приложение, которое должно проходить аутентификацию через OAuth 2.0. Поскольку приложение использует более старые технологии (Java 6, Tomcat 6, Struts 1, не Spring Framework), а обновление приложения в настоящее время не входит в объем, бюджет или график проекта, я работаю с библиотеками Apache Oltu - старше, но, кажется, они соответствуют моим потребностям.
Службе будет передан токен-носитель от потребителя в заголовках запросов, которые я могу получить. Я полагаю, что следующим будет передать токен с идентификатором клиента и секретным ключом веб-службы из учетной записи OAuth для авторизации (пока еще неизвестной мне) подпрограммы проверки токена Oltu, которая будет использовать URL-адрес PingFederate в домене нашей компании для проверки (т. Е. "https://fedlogin.xxx.com/as/token.oauth2"), и получите ответ, является ли этот токен действительным или нет. Это веб-сервис с очень низким трафиком, поэтому я не думаю, что мне нужно беспокоиться об обновлении токенов, сохраняющих что-либо в keyvaults / caches / database, и т.д.
То, что я ищу, кажется простым, но, возможно, я слишком упрощаю вещи в своем понимании процесса. В Интернете я нашел много примеров, но не руководство или пример, в котором изложены правильные методы, параметры и т. Д. Для проверки токена на предъявителя в этой ситуации. Я безуспешно попробовал несколько различных вариантов на примерах, которые я нашел в Интернете. Я новичок в OAuth, поэтому у меня могут возникнуть проблемы с терминологией и соглашениями об именах для доступных классов и методов.
Может ли кто-нибудь предложить (или направить меня) метод, позволяющий быстро и просто проверить токен на предъявителя с помощью Oltu? Я на правильном пути или я упускаю / неправильно понимаю что-то фундаментальное в том, как работает проверка OAuth 2 с точки зрения веб-службы?
Редактировать: Думаю, у меня может быть ответ, почему я не могу найти решение в библиотеке Олту - его не существует. Смотрите мой ответ ниже ...