Spring Oauthトークン格納メカニズム

Question

私はSpring OAuthを実装しようとしています。私はそれが初めてで、その仕組みを理解しようとしています。

私の質問：

1. のOAuth認証後にトークンを生成し、このトークンは、ユーザーが行うすべての要求のために使用する必要があります。リソースにアクセスするために、このREST APIコールにこのaccess_tokenを追加する必要があります。私は正しいと思いましたか？
2. クッキーを使用してこのトークンをクライアント側に保存する必要がありますか？とにかく、このトークンをクライアント側に格納する必要がなく、サーバー側で処理できるようになっていますか？
3. クライアントサイドにトークンを格納する必要がある場合、それを実行する最善の方法は何ですか？ 「：ベアラ{トークン}認証」ヘッダおそらく中 - サーバー上のエンドポイントは、OAuthので保護されている場合、私はこのlink

Answer 1

1. 通過した後、はい、あなたはそれぞれのリクエストでトークンを渡す必要があります。春には、別のrestTemplate - OAuth2RestTemplateを使って自動的にそれを取得し、要求に追加します。
2. ただJSESSIONIDをクッキーに保存するだけです。その後、春からセッションを読み込みます（ディスクはTomcatがインストールされているディスク/春のセッションプロジェクトを使用する場合はredisなど）
3. アクセストークンは比較的短命です。トークンが破損したと考えられる理由があるときに特定のトークンを無効にできるように、利用可能なエンドポイントを取り消す必要があります。

3.a）クライアント側でデータを保存する際に別の問題があります。クライアントネイティブアプリにclientId、clientSecretを格納することについてAndroidアプリのコードは簡単にリバースエンジニアリングできるので、誰でもoauthアプリを使ってトークンを取得できます。そのような状況では、別の許可タイプ「パスワード」を使用するように指示されています - チェックhttps://aaronparecki.com/2012/07/29/2/oauth2-simplified#other-app-types