私のプロジェクトに含める OAuth のリソース所有者パスワード フローまたはライブラリの Java プロバイダー実装はありますか?
Spring Security がこれらのライブラリにサーバーまたはプロバイダーの実装を提供することを読みましたが、完全な Spring スタックを使用せずに、これらの Spring ライブラリのみを標準の Java EE プロジェクトに含めることはできますか?
RFC に従って、そのフローに OAuth プロバイダーとクライアントを実装することは可能または合理的でしょうか?
UAAプロジェクトは、Spring Security の OAuth プロバイダーを使用して、完全な OAuth2 認可サーバー (リソース所有者の付与を含む) を実装します。なぜそれを使用しないのですか?
Spring を使用せずに、「これらの Spring ライブラリのみを標準の Java EE プロジェクトに含める」ことはできません。あなたの質問からは、それがどのように機能すると予想されるかは明確ではありません。たとえば、認可サーバーはどこに実装されますか?
特に仕様の一部のみを使用している場合は、OAuth2 プロバイダーを自分で実装することは確かに可能ですが、メインのアプリケーション開発に付随するものである場合は、簡単ではなく、おそらく「合理的」ではありません。
認可サーバーからトークンを取得したアプリケーションがリソース サーバーにアクセスするときに、リソース サーバーを保護する方法を検討する必要があります。つまり、発行されたトークンをチェックして理解し、それに基づいてアクセスを決定できる必要があります。