8.5 Tóm tắt

• Bảo mật OAuth 2 là một phương pháp phổ biến để bảo vệ API và mạnh mẽ hơn so với xác thực HTTP Basic đơn giản.
• Một máy chủ cấp quyền (authorization server) phát hành các mã truy cập (access token) cho client để thay mặt người dùng thực hiện các yêu cầu đến API (hoặc thay mặt chính nó trong trường hợp luồng mã client).
• Một máy chủ tài nguyên (resource server) đứng trước API để xác minh rằng các mã truy cập hợp lệ, chưa hết hạn được gửi kèm với phạm vi (scope) cần thiết để truy cập tài nguyên của API.
• Spring Authorization Server là một dự án thử nghiệm triển khai một máy chủ cấp quyền OAuth 2.
• Spring Security cung cấp hỗ trợ để tạo máy chủ tài nguyên, cũng như tạo các client có thể lấy mã truy cập từ máy chủ cấp quyền và gửi mã đó khi thực hiện các yêu cầu thông qua máy chủ tài nguyên.