我正在尝试创建oAuth 2.0应用程序并决定将Auth服务器和资源服务器分开。 我应该如何在客户端维护状态
客户端将请求auth令牌到auth服务器。并且auth服务器将验证并发送令牌。直到这部分我明白了。我现在应该如何使用令牌。我应该直接使用访问令牌向资源服务器发出请求吗?资源服务器是否应该使用Auth服务器验证访问令牌?或者我应该首先向auth服务器发出请求,然后验证并转发请求到资源服务器吗?
答案 0 :(得分:1)
RFC(http://tools.ietf.org/html/rfc6749)建议:
(F)资源服务器验证访问令牌,如果有效, 服务请求。
但也是:
授权服务器和资源服务器之间的交互 超出了本规范的范围。
我的直觉是让您的资源服务器接收请求,然后在可能的情况下验证访问令牌本身 - 否则在必要时查询auth服务器而不是让auth服务器代理请求。
答案 1 :(得分:0)
访问受保护资源
客户端通过提供访问权限来访问受保护资源 令牌到资源服务器。资源服务器必须验证 访问令牌并确保它没有过期及其范围 涵盖所请求的资源。资源使用的方法 服务器验证访问令牌(以及任何错误响应) 超出了本规范的范围,但通常涉及到 资源服务器与之间的交互或协调 授权服务器。
客户端使用访问令牌的方法 使用资源服务器进行身份验证取决于访问类型 授权服务器发出的令牌。通常,它涉及 使用HTTP"授权"请求标题字段[RFC2617] 由访问规范定义的认证方案 使用的令牌类型,例如[RFC6750]。