作用域(和角色)是任意字符串,因此如果要使其相同就没有问题。要使访问规则声明相同,您可以编写一个
expressionHandler经过测试的授权机构或范围,并根据
Authentication发现的类型使用相同的值。
阅读注释后,建议使用其他方法:添加自定义
TokenStore或
ResourceServerTokenServices。这些是易于访问的扩展点,将允许
OAuth2Authentication对其进行修改,以使其授予的权限与范围相同。
但是,我的首选是使用来控制允许的范围
OAuth2RequestFactory,在令牌授予时将它们限制为与用户权限一致的值。
