标签: authentication oauth oauth-2.0 authorization access-token
让我们举个例子,其中有两个资源服务器-RS1和RS2,有一个授权服务器-AS
两个资源服务器-RS1和RS2使用授权服务器-AS
如果客户端请求RS1的访问令牌并将其传递给RS2,RS2将如何验证它并使其失败?
一种可能性是依靠范围检查-但是似乎范围检查不过是字符串比较(我在这里错了吗?)。在这种情况下,如果RS1和RS2都定义了完全相同的作用域名称(例如,读取),那么即使使用作用域也没有可靠性。