Akka HTTP и Spray предоставляют директиву authenticateOAuth2, но в их документации указано, что
Эта директива не реализует полный протокол OAuth2, но вместо этого позволяет реализовать его, извлекая необходимый токен из заголовков HTTP.
Я также не могу найти библиотеки, реализующие OAuth2 для Akka HTTP или Spray. Я что-то упускаю, или это просто состояние этих библиотек прямо сейчас?
Я думаю, что самая большая проблема заключается в том, что сам OAuth2 на самом деле не говорит вам, как выглядят детали реализации.
Процитируем RFC:
Токен может обозначать идентификатор, используемый для получения информации об авторизации, или может содержать информацию об авторизации в поддающемся проверке виде (т. е. строку токена, состоящую из некоторых данных и подписи). Дополнительные учетные данные аутентификации, которые выходят за рамки этой спецификации, могут потребоваться для того, чтобы клиент мог использовать токен.
Токены доступа могут иметь разные форматы, структуры и методы использования (например, криптографические свойства) в зависимости от требований безопасности сервера ресурсов. Атрибуты токена доступа и методы, используемые для доступа к защищенным ресурсам, выходят за рамки этой спецификации и определяются сопутствующими спецификациями, такими как [RFC6750].
Например, вы можете использовать JWT для проверки запроса или использовать токен только как идентификатор и запрашивать у службы, токен разрешен для этого ресурса.
В зависимости от вашего провайдера OAuth2 реализация может различаться, поэтому я предполагаю, что фреймворк может предоставить вам только общую вещь (извлечь токен для вас) или ему придется реализовать все возможные реализации OAuth2, что кажется невозможным на данный момент.
Я лично использовал pauldijou/jwt-scala в прошлом. посмотри на.
