[英]Spring Security OAUTH2 - How to restrict access to APIs based on client ID?
嗨,我是 Spring 安全性的新手。 我有一个带有几个端点的 controller。 这些端点来自资源服务器。
POST /secured/user/create
POST /secured/user/update
GET /secured/user/{id}
在访问这些 API 之前,客户端必须从我的授权服务器获取一个令牌,然后在调用上述 API 时使用它。 但是,我想限制用户只能访问 GET api,具体取决于他的客户端 ID。 客户端应该无法调用创建或更新 API。
有没有办法做到这一点? 以及如何在代码中做到这一点? 我假设以下
任何资源或链接将不胜感激!
can_read_user_data: true 。您可以在此处找到的文章中阅读有关声明、范围、它们之间的关系以及围绕范围和声明的一些最佳实践: https://curity.io/resources/claims/
Spring security oauth2 with 2 applications (same client ID and client secret)
[英]Spring security oauth2 with 2 applications (same client ID and client secret)
Spring Security OAuth2服务器端,如何在所有请求上要求client_id和client_secret
[英]Spring Security OAuth2 server side, how to require client_id and client_secret on all request
如何验证oAuth2 access_token是否被Spring安全性发布给它的同一客户端使用?
[英]How to verify that oAuth2 access_token is used by same client to whom it was issued in Spring security?
如何仅在Spring Security OAuth2中允许从客户端访问资源?
[英]How to allow access to resource from client only in Spring Security OAuth2?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.