Ho visto in alcune implementazioni oauth ulteriori informazioni sulla risposta restituita dal server di autorizzazione quando emette i token di accesso. Mi chiedo se c'è un modo per farlo usando spring-security-oauth2. Mi piacerebbe poter includere alcune autorizzazioni utente sulla risposta del token di accesso in modo che le mie applicazioni che consumano non debbano gestire le autorizzazioni degli utenti, ma possono ancora impostare l'utente nei propri contesti di sicurezza e applicare una qualsiasi delle proprie funzionalità di sicurezza primarie controlli.posso includere informazioni utente durante l'emissione di un token di accesso?
- Come posso ottenere tali informazioni sulla risposta del token di accesso?
- Come posso intercettare le informazioni sul lato client oauth2 e impostarle nel contesto di sicurezza?
Suppongo che un'altra opzione sarebbe utilizzare i token JWT e condividere le informazioni appropriate con le applicazioni client in modo che possano analizzare l'utente/le autorità fuori dal token e impostarlo nel contesto. Ciò mi rende più scomodo poiché preferirei avere il controllo di quali applicazioni client potrebbero avere accesso a queste informazioni (solo app sicure) e AFAIK solo il server delle autorizzazioni e il server delle risorse dovrebbero sapere come analizzare i token JWT.
FWIW le mie preoccupazioni al momento intorno applicazioni JWT e che hanno la capacità di analizzare le informazioni erano mal fondate. In alcuni casi, questo potrebbe essere completamente a posto! Nei casi più restrittivi puoi usare JWE e essere giudizioso su chi condividi la chiave. – RutledgePaulV