是否支持在Apache HttpClient中使用基于OAuth2的承载令牌？

我正在尝试创建一个Spring Boot REST应用程序，该应用程序必须对另一个受OAuth2保护的Spring Boot应用程序进行远程REST调用（具有授予类型client_credentials)。 第一个应用程序正在使用Reactive WebClient对第二个OAuth2 REST应用程序进行调用。 我已经使用grant_type“client_credentials”配置了WebC

这可能是一个愚蠢或幼稚的问题，但是:OAuth2无记名令牌签名了吗？ 换句话说:消费者能够验证不记名令牌是否是由特定的授权服务器发布的吗？

我已经创建了许多生成/使用JSON数据的Web服务，并使用OAuth2和承载令牌对它们进行了保护，效果很好。 然而，现在我需要构建一个类似的Web服务来生成图像而不是JSON（即JPEG/PNG数据）。为了保持一致性，我也想用OAuth2/承载令牌来保护服务，但是这样做会使服务在基于浏览器的应用程序中更具挑战性，这些应用程序希望使用 我认为有两种方法可以解决这个问题： > 修改OAuth2基础设施

出身背景 我已经实现了ThinkStructure。识别服务器。V3（openID Connect one）。我已将OAuth2承载令牌以以下形式返回给我的javascript客户端（隐式流）： 但在所有示例中，它们仅在调用服务时将access_token传递给资源提供程序。 假设 如果我做对了，我会用访问令牌进行身份验证。然后，我根据id_令牌中的声明进行授权（我不想进行单独的DB调用——我希望

我正在构建一个基于令牌的身份验证(Node.js使用带有angular客户端的passport/JWT)。 用户输入凭证后，他将获得一个访问令牌，并在头中的每个请求中发送该令牌（头：bearer token）。 我不想每次他的访问令牌过期时都提示登录请求（我猜大约每天），我听说过刷新令牌。刷新令牌永不过期（或很少过期），并且能够无限期续订令牌。当访问令牌即将过期时，客户端可以通过发送刷新令牌来发送

我正在寻找一些指导，配置owin中间件承载令牌身份验证，以支持Open Id Connect密钥旋转。 Opend Id Connect规范说明了以下有关关键点旋转的内容： 签名密钥的旋转可以通过以下方法完成。签名者在其jwks_uri位置的JWK集中发布其密钥，并在每条消息的JOSE头中包含签名密钥的kid，以向验证者指示将使用哪个密钥验证签名。可以通过定期向jwks_uri位置的JWK集合添加