录制于 2013 年在加州圣克拉拉举行的 SpringOne2GX 大会。

演讲者：David Syer 博士

OAuth2 规范（明智地）将许多领域留给了解释和实现细节，因此有很多机会对流程和底层数据强加解释。本演示文稿首先对 OAuth2 的主要功能进行基本介绍，然后通过示例展示如何利用它们来支持业务和应用程序用例。例如，您是否应将访问决策数据直接编码到访问令牌中，或者使令牌完全不透明？您是否应该对请求进行签名？您应该为 OAuth2 范围使用什么命名约定？您如何注册用户和客户端？在现有的 OAuth2 实现中有一些明显的模式，如果您希望复制其中一个模式或制定自己的规则，Spring Security OAuth 提供了大量的挂钩和扩展点。示例将使用 Spring 和 Spring Security 来展示如何利用固有的灵活性，无论是在规范中还是在库中。了解有关 Spring Security OAuth 的更多信息：http://projects.spring.io/spring-security-oauth 和 Spring Security：http://projects.spring.io/spring-security

!{iframe width="420" height="315" src="//www.youtube.com/embed/nMdtYnSXRpw" frameborder="0" allowfullscreen}{/iframe}