你了解 oauth_client_details 在 OAuth2 里面是怎么使用的么?
你了解 OAuth2 里面那几处代码 用到 autoapprove 这个字段么?
你了解 OAuth2 的运作机制么?知道 AuthorizationServerConfigurerAdapter 是用来干什么的嘛?
你了解 多级缓存 的含义吗?了解现在是怎么设计和使用多级缓存的嘛?
微服务架构涉及的东西本来就多,自己的认知不提升,看哪里都是BUG。有这种时间和精力,咱先去学习一下、了解一下相关的知识不香吗?
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
问题是我现在调试的时候都获取到了我修改的autoapprove值,但是就是没有起作用。继续调试发现HerodotusClientDetails类中的 private Set autoApproveScopes; 这个属性没有赋值
1、开源版本有个很重要的职能就是帮助入门和演示,如果让autoapprove生效,有些人在没搞懂之前,就会产生其它的疑问,比如说,为什么第一次有确认的页面,第二次就没有。
2、从实际使用角度上讲,autoapprove只是个补充,微信、支付宝这些第三方登录都是授权码模式,第三方登录的时候,你看那个会默认给你自动确认,都是需要你手动点一下。
3、Scope校验这个东西,就算在OAuth2里面开启了,也只是简单的对比一下字符串。如果你不进行自定义改造,即便开启Scope校验也相当于摆设,实际应用中对安全的提升作用也很小。换句话说常规使用OAuth2只有认证,没有鉴权,如果不开发自定自定义的鉴权,autoApproveScopes这个东西就是个摆设,还不如没有。
4、之前回复你说的这些,意思就是想让你明白,好好研究研究OAuth2,就算只看看OAuth2的autoapprove, autoApproveScopes相关的源代码,也比你花这么多时间和精力证明你说的就是对的、它就是本系统的BUG有意义的多。
5、开源版本我故意在一些地方弄留了点坑,就是想以此发现一些志同道合的兄弟,一起来完善和改进。而不希望所有人都只是想都不想,就想用现成的。如果你把OAuth2搞懂了,你觉得这样不合适,也欢迎你加入进来一起做一起完善,当然前提是你得知道怎么改不是。
登录 后才可以发表评论