Die ClientDetailsServiceBuilder.ClientBuilder hat eine Methode. Jedoch gibt es kein Javadoc dafür. Wer weiß, wofür die Ressourcen-IDs stehen?Spring-Sicherheits-OAuth-ResourceIds in ClientDetailsServiceBuilder.ClientBuilder?
Die resourceId im Frühling Karten auf die Audience von OAuth2 spec.
Wenn der Autorisierungsserver zum Beispiel JWT verwendet, setzt er den Audience-Wert (Claim) in JWT. Und wenn diese JWT an Spring Security übergeben wird, validiert sie diesen Wert anhand der Werte, die Sie über resourceIds angegeben haben. Wenn es Spring nicht entspricht, wird das JWT-Token zurückgewiesen.
OK - Das würde also auch dem 'aud' Anspruch im Openid-Connect' id_token' entsprechen? – Ole
Höchstwahrscheinlich wird es. Ich weiß sicher, dass Spring "aud" Anspruch in JWT-Token erwartet und es wird fehlschlagen, es ist nicht festgelegt. – tsolakp