如何在构建微服务的同时获得与Spring中的访问令牌相关联的范围？

Question

我正在编制一个microservices系统，该系统具有一个中央Authorization Server，该系统授予具有不同作用域的tokens访问单个微服务。

这是解释各种服务调用的图片。标明的数字是按时间顺序提出的请求。

​

​

1)在一个螺母壳中，我希望auth在控制器进行登录调用时返回带有用户标识符(id)和作用域的access-token。就像下面从弹簧教程获取的示例(但这是缺少的id)。我怎么才能把身份证还给我呢？我不喜欢像本教程中提议的那样进行另一个REST调用。

$ curl acme:acmesecret@localhost:9999/uaa/oauth/token  \
-d grant_type=authorization_code -d client_id=acme     \
-d redirect_uri=http://example.com -d code=jYWioI
{"access_token":"2219199c-966e-4466-8b7e-12bb9038c9bb","token_type":"bearer","refresh_token":"d193caf4-5643-4988-9a4a-1c03c9d657aa","expires_in":43199,"scope":"openid"}

2)接收“授权承载”头中的访问令牌的照片服务如何使用Auth检查令牌是否有效，并且它具有访问照片所需的范围。(例如，如果Auth Server使用此令牌有资格使用的作用域列表进行响应，则Post服务可以在范围列表之间进行检查，如果它可以提供访问)。

3)在附带说明中，我看到-d code=jYWioI是在请求的上面传递的，但不确定它为什么被传递，它的目的是什么？

Answer 1

这是你问题的答案。

1. 我怎样才能在归还令牌的情况下重新获得身份？

你需要一个TokenEnhancer来完成这项工作。下面是一个例子我可以在发出访问令牌时包括用户信息吗？的相关堆栈溢出问题

1. PhotoService如何与AuthServer检查有效性和所需范围？

不是的。这就是这个建筑的全部美。范围和有效性是令牌本身的一部分。照片服务接收令牌并从它解码信息。除非另有规定，否则您很可能正在使用Jwt令牌。如果您访问该网站，您将看到令牌及其解码值的示例。这是截图，以供快速参考。

​

1. 为什么-d code=jYWioI通过了？

我不确定。-d参数curl(手册页在这里)用于向服务器发送数据。我确信这个参数是错误的，它是这个请求的附加项，因此，服务器只需忽略它。你应该没事的，你把它移走了。