为了获得刷新令牌,我正在调用这样的服务
http://www.myapp.com/SampleApp/oauth/token?grant_type=password
现在服务将返回刷新令牌和临时访问令牌,但问题是'传递用户名,特别是密码通过网络在url是不安全的'所以我想调用 /oauth/token,我需要传递grant_type,client_id,用户名,密码…
我还想通过reqest标头中的access_token来调用rest service而不是像员工/列表这样的url?AccessToken=657gjgf3563285我如何才能实现这一点?我的security-servlet. xml看起来如何支持这一点?最后我对 /oauth/token的请求看起来如何…
Spring oauth中支持不记名令牌(请参阅BearerTokenExtractor)。
此外,如果在URL中传递用户名/密码对您来说不安全,很可能将其放在请求正文或标头中不会更安全。为了更安全,您需要使用PKI加密内容或使用HTTPS等安全传输方法(OAuth 2规范说这基本上是TLS的要求)。
