所以,我認爲我在大量方法中迷失了方向,因爲我對所有這些都陌生,但是,我有一個獨立的Auth服務器使用基本身份驗證來進行用戶憑據輸入。OAuth2客戶端UI混淆
然後我有一個非常簡單的客戶端應用程序是成功地重定向到/oauth/authorize
,然後做一個後續調用/oauth/token
和/oauth/check_token
作爲流程的一部分。所以我回來了訪問令牌,它看起來不錯。
問題是我無法訪問UI應用中的任何資源,因爲它說我沒有通過身份驗證。我已經添加了這個檢查在控制器的事物狀態:
SecurityContext ctx = SecurityContextHolder.getContext();
上下文是說我沒有經過認證(但它確實包含OAuth2Authentication對象持有的訪問令牌等細節)。
,如果我調試多一些,我可以在OAuth2AuthenticationProcessingFilter正試圖通過授權頭,但無法找到它來獲得從請求(BearerTokenExtractor)承載令牌看;我應該在auth服務器驗證後明確設置它嗎?
我錯過了什麼?
非常感謝