8.5 小结

• 使用 OAuth 2 是保护 API 的常用方法，它比简单的 HTTP 基本身份验证更健壮。
• 授权服务器为客户端颁发访问令牌，以便在以下情况下代表用户行事：向 API 发出请求（或在客户端令牌流的情况下代表 API）。
• 资源服务器位于 API 前面，以验证是否存在有效的、未过期的令牌，并提供访问 API 资源所需的作用域。
• Spring Authorization Server 是一个实现 OAuth 2 的实验性质的授权服务器。
• Spring Security 支持创建资源服务器和创建客户端。从授权服务器获取访问令牌，并通过资源服务器发出请求。