35-OAuth2授权服务器客户端认证配置

本篇我们来对另一个配置类OAuth2ClientAuthenticationConfigurer进行了解，从名字上看它被成为OAuth2客户端认证配置。啥？OAuth2客户端还需要认证吗？当然需要！

OAuth2 客户端类型

根据RFC6749#section-2.1的描述，OAuth2基于客户端保护自己密码的能力定义了两种客户端类型：

confidential

机密型客户端，这种OAuth2客户端有能力保护自己的client-secret，不会泄露出去并能安全地使用它。大部分承担了OAuth2客户端的后端应用都属于这一种类型。

public

公开类型的客户端，这种客户端也有client-secret，但是它的client-secret很容易被外部发现，比如一个静态的前端应用，很容易被拿到这个值。

客户端认证

无论OAuth2客户端属于哪种类型，它都需要向授权服务器表明身份。举个例子，一个明星的经纪人去谈商务，他上来自报家门“我是谁谁谁的经纪人”，对方肯定不信啊，你得先证明你经纪人的身份。OAuth2是一样的道理，要对客户端的凭据进行一个验证，

文章来源: felord.blog.csdn.net，作者：码农小胖哥，版权归原作者所有，如需转载，请联系作者。

原文链接：felord.blog.csdn.net/article/details/123871892