使用彈簧安全性針對REST服務器的Web Client的Oauth2密碼授權

Question

我們正在開發一個連接到我們自己的REST服務器的Javascript Web客戶端。我們希望用戶使用REST服務器上的帳戶登錄到Web應用程序，以便他們可以根據權限和角色授權對資源執行HTTP操作。

現在的問題是： 當用戶使用他通過密碼授權接收的訪問令牌訪問REST資源時，是否會彈性安全隱式行爲，就好像用戶在請求期間使用其帳戶登錄一樣？也就是說，我可以使用@PreAuthorize註釋來保護我的資源，以對當前委託人應用授權規則嗎？

Answer 1

所以，答案是肯定的。在uersname-password flow/grant中，授予登錄用戶的令牌將用於對其他層進行身份驗證。 除了OAuth提供的用於保護資源的安全性外，還可以在應用程序內部進一步授權他。

儘管看起來使用密碼授予，登錄的用戶將只具有用戶角色，並且不具有任何客戶端角色。客戶端和用戶都需要具有OAuth所需的資源角色。