Сервер авторизации Spring. В чем разница между RegistredClient и UserDetails?

В их руководстве по началу работы, ссылка на Spring Authorization Server есть фрагмент кода, в котором они объявляют два bean-компонента — UserDetailsService и RegistredClientRepository. Я хотел поиграть с получением некоторых токенов с сервера. Я пробовал использовать почтальона. На вкладке авторизации я ввел значения из руководства:

он ответил:

Затем я попытался ввести учетные данные клиента из записи RegistredClientRepository:

И это сработало.

Итак, мой вопрос: какова цель того, чтобы UserDetails и RegistredClient были доступны в этом случае?

И еще немного не по теме вопрос: если я создам свой собственный сервер авторизации для потока клиентских учетных данных между моими серверами, как каждый сервер узнает, что токен принадлежит легитимному серверу, а не какому-то злоумышленнику, который может просто зарегистрироваться с нужным clientId, если есть возможность? Как сервер ресурсов может на самом деле проверить, что владелец токена является сервером, которому он доверяет?

0 ответов

Другие вопросы по тегам