问用于本地应用程序的+ JWT

EN

您想要使用的一些“社会”身份提供者很可能要么不允许您直接使用他们的授权服务器，要么就不会交付JWT(有些只支持令牌内省)。

我强烈建议您选择一个能够进行身份联合的OIDC authorization-server来代理所有异构身份提供者。有很多解决方案，不管是前提解决方案(如Keycloak)还是云中解决方案(Auth0是一个示例，但几乎每个云提供商都有自己的解决方案)。这还将为您提供一个集中的位置来处理您可能需要的其他用户安全数据(比如角色)。

此授权服务器将是您的Spring的唯一标识颁发者，您将其配置为resource-server.详情请参见本教程。

对于移动客户端，我所做的方法是将用户从应用程序重定向到授权服务器进行登录(这是在系统浏览器中打开的)，然后设置“深度链接”以响应本机应用程序中打开的授权代码。结束OAuth2授权代码流的框架(将代码交换为令牌)取决于编写本地应用程序所使用的框架。