0
ClientDetailsServiceBuilder.ClientBuilderは、方法がresourceIds(String...)です。しかし、Javadocはありません。誰でもリソースIDが何であるか知っていますか?春のセキュリティClientDetailsServiceBuilder.ClientBuilderのOAuth ResourceIds?
ClientDetailsServiceBuilder.ClientBuilderは、方法がresourceIds(String...)です。しかし、Javadocはありません。誰でもリソースIDが何であるか知っていますか?春のセキュリティClientDetailsServiceBuilder.ClientBuilderのOAuth ResourceIds?
SpringのresourceId
は、OAuth2仕様のAudienceに対応しています。
たとえば、JWTで使用する場合、AuthorizationサーバーはAudience値(claim)をJWTに入れます。そして、そのJWTがSpring Securityに渡されると、resourceIds
で指定した値とその値を検証します。一致しない場合、SpringはそのJWTトークンを拒否します。
OK - これはopenid-connect 'id_token'の' aud'クレームにも相当しますか? – Ole
それは可能性が高いでしょう。私はSpringがJWTトークンで 'aud'を要求し、それが設定されていないと失敗することを確かに知っています。 – tsolakp