我正在开发一个带有BFF的SPA应用程序,它使用spring云网关配置为具有spring安全性的oauth2客户端和作为授权服务器的keycloak服务器。我做了一个经典的spring安全配置:
@Configuration
@EnableWebFluxSecurity
public class SecurityConfiguration {
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http.authorizeExchange
在OAuth2协议中,Client (RP In OIDC)应用程序获得访问令牌,使其能够代表资源所有者使用不同的服务(资源服务器角色)。
另一方面,在OpenID连接协议中,客户端获得两个令牌(访问和id令牌)。现在,这个客户端可以使用访问令牌从UserInfo端点获取用户声明。
OP (授权服务器)在这里扮演资源服务器的角色(就OAuth2而言),客户端代表用户获取用户数据吗?
客户端如何使用ID令牌?客户端是否将此ID令牌传递给资源所有者的用户代理(Browser),然后用户代理存储此令牌以启用SSO (cookie)?
客户端(例如,与获得ID令牌的客户端不同)是否必须在每