注册client - Spring Security&OAuth2.1

client_id*

client_id必须输入,且必须唯一,长度至少10位; 在实际应用中的另一个名称叫appKey,与client_id是同一个概念.

client_name*

OAuth2.1新增

Client有意义的名称.

client_secret*

client_secret必须输入,且长度至少10位; 在实际应用中的另一个名称叫appSecret,与client_secret是同一个概念.
注意: 由于client_secret 会加密存储, 请先复制并保留client_secret值

authentication_methods*

client_secret_post client_secret_basic client_secret_jwt private_key_jwt
OAuth2.1新增

选择在认证时支持传递client_secret参数的方式；在正式环境中，此值一般不需要选择而是由后台创建时根据业务设置即可

scopes*

openid profile email address phone

scopes值由OIDC 1.0协议中定义(详见#ScopeClaims)，openid必须选择；在正式环境中，此值一般不需要选择而是由后台创建时根据业务设置即可

grant_type(s)*

authorization_code password OAuth2.1不支持 device_code OAuth2.1新增 jwt-bearer OAuth2.1新增 client_credentials refresh_token

至少勾选一项grant_type(s), 且不能只单独勾选refresh_token

redirect_uris

若grant_type包括authorization_code, 则必须输入至少一个 redirect_uri (多个uri用半角逗号分隔)

logout_redirect_uris

OAuth2 退出时post的客户端重定向 uri (多个uri用半角逗号分隔)，可选

更多选项

require_proof_key(PKCE)

支持PKCE 不支持PKCE

是否在authorization_code流程中支持PKCE(Proof Key for Code Exchange)

授权需要用户确认

Yes No

是否在authorization_code流程中授权时需要用户进行确认

获取token认证签名算法

选择在调用/oauth2/token API时使用的签名算法(当grant_type为jwt-bearer时会用到)；注意：支持的算法要有对应用jwk (jwks.json 文件)，判断支持哪些key可访问 /.well-known/openid-configuration进行查看

code有效时长

设定authorization_code流程中code的有效时长(单位:秒)；默认300（5分钟）

device_code有效时长

设定device_code流程中code的有效时长(单位:秒)；默认300（5分钟）

access_token有效时长

设定客户端access_token的有效时长(单位:秒),可选, 若不设定值则使用默认的有效时间值(3600秒); 若设定则必须是大于0的整数值(推荐不小于60)

refresh_token有效时长

设定客户端refresh_token的有效时长(单位:秒),可选, 若不设定值则使用默认的有效时间值(43200秒); 若设定则必须是大于0的整数值且不能小于access_token有效时长

复用refresh_token

Yes No

当调用refresh token API后是否继续使用之前的refresh_token值，Yes则继续使用，No则每次调用refresh token API后会返回一新的refresh_token值

access_token格式

self-contained(jwt) reference(uuid)

设置access_token值的格式，self-contained使用JWT格式(默认)，reference使用类UUID格式

id_token签名使用的算法

选择生成id_token时使用的算法；注意：支持的算法要有对应用jwk (jwks.json 文件)，判断支持哪些key可访问 /.well-known/openid-configuration进行查看

取消