求大佬指点。。。 使用的springSecurityOauth2框架,基于数据库存储。 问题是clientDetail的客户端范围scope与userDetailsService查询的用户的RBAC权限不能建立联系,后者将查询数据库内该用户所有的权限。 假定系统有web端和移动端,用户现在通过web端登陆,目前情况下,生成的token的scope是web,authorities却包含了移动端的资源授权。虽然对用户来说,这都是他的权限,但对于token来说,是不是scope越界了呢?如果token被别人获取,那就不光可能窃取web范围的资源,移动端也可以窃取了啊。 想问userDetailsService的loadByUsername方法授权时,怎样可以同时获取到当前请求的scope,只授予对应scope范围的权限呢?或者资源服务器鉴权时,如何同时卡住hasScope和hasAuthority呢(发展只会后设置的生效)?
1条回答 默认 最新
悬赏问题
- ¥15 mmseqs内存报错
- ¥15 vika文档如何与obsidian同步
- ¥15 华为手机相册里面的照片能够替换成自己想要的照片吗?
- ¥15 陆空双模式无人机飞控设置
- ¥15 sentaurus lithography
- ¥100 求抖音ck号 或者提ck教程
- ¥15 关于#linux#的问题:子进程1等待子进程A、B退出后退出(语言-c语言)
- ¥20 web页面如何打开Outlook 365的全球离线通讯簿功能
- ¥15 io.jsonwebtoken.security.Keys
- ¥15 急,ubuntu安装后no caching mode page found等