Spring Security 5 OAuth2客户端密码授予类型

我试图弄清楚如何处理Passport包中的密码授予令牌。我是否应该将客户id和客户机密存储在中。env文件或在请求令牌时直接从数据库获取值？

问题内容： 我正在使用一组受oAuth2保护的服务。当前它是这样工作的：客户端使用其用户名和密码登录。我用这些交换令牌。我将令牌保存在会话中，并在每次调用服务时提交。它可以工作，但是问题是我完全手动执行此操作，而没有使用很多Spring Security oAuth2支持。外观如下： 如您所见，我自己创建了身份验证提供程序。它正在接受该标准，但正在产生自己的扩展，该扩展也保留了实际内容，因此将其保

问题内容： 根据规范，不要求使用授权码补助金的令牌的请求作为要被认证，只要是包含在请求和所述是相同的一个用于生成所述代码。但是，使用Spring Security OAuth 2.0实现，即使从未为客户端分配秘密，端点上始终总是需要基本身份验证。 似乎由于接口中的方法，似乎支持允许客户端没有秘密。为了使没有秘密的客户端能够在上进行身份验证，我该怎么做？ 4.1.3。访问令牌请求 客户端通过 按照附

我正在构建一个API，并使用Laravel Passport进行身份验证。 API正在用于我们的移动应用程序，因此我们正在使用密码授予客户端。 一切都很好，用户可以登录以获得访问令牌。我们创建了一个注册endpoint，允许用户注册。此时，我们也需要API返回访问令牌。 通过查看文档，无法通过编程方式创建访问令牌。 如何在控制器中为密码授予客户端创建访问令牌？我显然不想对自己的API执行HTTP请

我可以使用，其中一个keycloak客户机与另一个keycloak客户机通信。然而，只有当我登录到第一个keycloak客户机时，它才起作用，即它向keycloak服务器发送客户机ID、客户机机密、用户名和密码。如果我没有在第一个客户机上使用用户和密码进行身份验证，我会得到“无法设置授权头，因为没有身份验证原则”。但是我已经将keycloak配置为对第一个客户机使用服务帐户（客户机凭据授权），因此

我有一个Spring Web应用程序，它有一个为它的APIendpoint配置的oauth2资源服务器和一个完全不同的用于REST调用的oauth2客户端。oAuth2客户端需要具有密码授予类型。用户名和密码是固定的（不是来自HTTP请求）。我的问题是30分钟后访问令牌和刷新令牌都过期了，所以没有办法刷新。我希望Spring Security只会要求新的访问令牌，但没有。它用过期的endpoint