验证资源服务器上的访问令牌

Question

我是这个网站的新手，所以请放轻松。

我正在使用 React Native 构建一个移动应用程序，而我正在使用 nodejs 来开发后端。我创建了身份验证服务器，它在身份验证时发回访问和刷新令牌。

现在我想验证资源服务器上的不记名令牌。但我不知道如何验证访问令牌是否有效。如何检查访问令牌是否有效？

如果有人能对这篇文章有所了解，我将不胜感激。谢谢。

如果我不清楚我的问题，我愿意提供更多信息。

Answer 1

API 有两种技术机制来验证访问令牌：

• 获取令牌签名密钥并验证访问令牌的签名
• 将访问令牌发送到授权服务器的自省端点

总的来说，你检查这些事情是正确的：

• 签名
• 发行人
• 观众
• 到期

其中第一个更常用，但我更喜欢第二个选项。

我的资源

• Signature Validation NodeJS Code
• Introspection NodeJS Code
• Validation Blog Post