Spring OAuth2AuthorizationService -Implementierungen bestehen JWT Access Tokens ⇐ Java

[Anonymous]

Ich habe kürzlich mit der Entwicklung eines OAuth/OIC -Identitätsanbieters mit Spring Boot 3, Spring Security 6 und Spring Authorization Server begonnen. Ich bin neu in OAuth, habe aber Erfahrung mit der Sitzungs-basierten Webauthentifizierung und verstehe im Allgemeinen JWTS. Takteken und in sich geschlossene jwt Zugangsantriebsanlagen. Auf diese Weise habe ich den Vorteil, dass ich die langlebigen Aktualisierungs-Token nach Belieben widerrufen kann (weil sie jedes Mal, wenn sie verwendet sind Der Client muss den Server um alles fragen (außer dem öffentlichen Unterzeichnungsschlüssel). Der Refresh -Token wird von Zeit zu Zeit verwendet, um ein neues Zugriffs -Token vom Server anzufordern, wenn der alte abgelaufen ist. Schnittstelle. Diese Schnittstelle speichert OAuth2Authorisierungsobjekte anhaltend (oder im Speicher, je nachdem, welche Implementierung verwendet wird). OAuth2Authorisierungsobjekte können sowohl ein Aktualisierungstoken als auch einen Zugangs -Token enthalten. Warum müssen beide mit dem OAuth2AuthorizationService gespeichert werden? Es gibt also keinen Vorteil, sie beharrlich zu lagern, weil ihnen bis sie abgelaufen sind. Es wird nicht erwartet OF OAuth2AuthorizationService wird gerade ihre Basen abdeckt, indem Sie beide Tokens-Server-Seite gespeichert haben, nur für den Fall, dass Sie Aktualisierungstoken konfiguriert haben und auf Token zugreifen, um undurchsichtig zu sein? Ich werde meine Tokens-Server-Seite in einer persistenten Redis-Instanz speichern, daher möchte ich keinen Speicherplatz im Speicher verschwenden, es sei denn, ich muss es unbedingt tun. Ist es in Ordnung für meine Implementierung von OAuth2AuthorizationService, um nur Aktualisierungspflichten zu speichern und sie auf die ID oder Informationen eines Benutzers zuzuordnen und dann das OAuth2Authorization -Objekt an der Stelle zu erstellen, wenn es angefordert wird?