我正在尝试创建 oAuth 2.0 应用程序,并决定将身份验证服务器和资源服务器分开。 我应该如何去维护客户端的状态
客户端将向身份验证服务器请求身份验证令牌。身份验证服务器将验证并发送令牌。直到这部分我明白了。我现在应该如何使用令牌。我是否应该使用访问令牌直接向资源服务器发出请求,而资源服务器应该使用身份验证服务器验证该访问令牌?还是我应该首先向身份验证服务器发出请求,然后验证并将请求转发到资源服务器?
【问题讨论】:
标签: oauth-2.0
RFC (https://www.rfc-editor.org/rfc/rfc6749) 建议:
(F) 资源服务器验证访问令牌,如果有效, 处理请求。
还有:
授权服务器和资源服务器的交互 超出了本规范的范围。
我的直觉是让您的资源服务器接收请求,然后在可能的情况下验证访问令牌本身 - 否则根据需要查询身份验证服务器,而不是让身份验证服务器代理请求。
【讨论】:
访问受保护的资源
客户端通过提供访问权限来访问受保护的资源 到资源服务器的令牌。资源服务器必须验证 访问令牌并确保它没有过期并且它的范围 涵盖所请求的资源。资源使用的方法 服务器验证访问令牌(以及任何错误响应) 超出了本规范的范围,但通常涉及 资源服务器和资源服务器之间的交互或协调 授权服务器。
客户端使用访问令牌的方法 使用资源服务器进行身份验证取决于访问类型 授权服务器颁发的令牌。通常,它涉及 使用 HTTP“授权”请求标头字段 [RFC2617] 和 由访问规范定义的身份验证方案 使用的令牌类型,例如 [RFC6750]。
【讨论】: