我正在处理OAuthAuthorizationServer示例(由sourceforge提供)并且我注意到RSAParameters ResourceServerEncryptionPublicKey具有不需要硬编码的注释以及关于这意味着什么的模糊描述。但是,关于实际实施,我无法遵循。
具体来说:“在真实的应用程序中,授权服务器需要根据授权请求确定访问令牌需要编码的资源服务器。然后需要查找该资源服务器的公钥和用于为客户端准备访问令牌以用于该资源服务器。“
此评论中描述的资源服务器是Google / Facebook等吗?我们如何查找这些公钥?我离开基地了吗?目标是遵循列出的问题here。这个问题的回答是可靠的,但遗漏了一些更加细致的细节。
答案 0 :(得分:1)
Google和Facebook将不接受您发出的令牌,所以不,您的案例中的资源服务器不是那些网站。资源服务器是为客户端提供用户数据的服务器。通常,这也是您的网站。实际上,它通常与授权服务器本身是相同的站点。问问自己“在我将授权服务器发送到客户端之后,将使用哪个访问令牌进行使用?”答案就是你的资源服务器。
如果您只有一个资源服务器,则应为其创建公钥/私钥对,并将公钥复制到授权服务器中。同样,您应该为授权服务器创建另一个密钥对,并将其公钥复制到资源服务器中。