Блог

У меня есть служба Spring на основе REST (сервер ресурсов Oauth2), к которой я хочу получить доступ с помощью другого приложения (клиент Oauth2). Я выполняю аутентификацию пользователя в клиентском приложении с использованием OIDC, полагаясь на ключ (OP в терминах OIDC). Теперь, когда клиентское приложение отправляет запрос, имеющий маркер доступа, прикрепленный в заголовке авторизации, на мой сервер ресурсов, цепочка фильтров Spring Security сначала выполняет аутентификацию, а затем авторизацию.

У меня есть подсказка, что эта цепочка аутентификации не выполняет «реальную» аутентификацию, а просто извлекает информацию о пользователе из маркера доступа и заполняет контекст безопасности. Службы, реализующие роль «Сервера ресурсов» с точки зрения OAuth2, в любом случае не должны выполнять аутентификацию. Я прав?

Каков эффект от включения spring-boot-starter-oauth2-сервера ресурсов в зависимости службы? Прикрепляет ли он фильтры только для извлечения информации о пользователе из access_token?