問題描述

就是有個需求是做一個微信公眾號，需要微信的登錄，前端把code給我之后我去申請access token，然后拿到用戶的信息。那這樣是不是用戶模型就不需要密碼了?那不用spring security的話，有些api接口我是需要控制權(quán)限的，我是怎么判斷前端請求的權(quán)限呢？網(wǎng)上說用token，前端的每次請求都帶上token，這個token就是微信給我的access token嗎？

問題解答

是的，類似于無密登錄，通過code從微信端拿到access_token，然后獲取用戶的信息，如果在服務(wù)端存在此用戶，調(diào)用spring security自己生成認證的用戶對象，返回給客戶端就可以啦