对不起,如果这个问题太广泛了,但是我必须问这个,因为我正在学习网络开发,我觉得如果不问我不会知道。
所以,我正在使用oauth2进行身份验证,现在我已经处于成功验证用户身份的位置,现在我正在接收他们称之为令牌的内容。问题是,如何使用令牌来验证用户自己的服务器?
我正在考虑创建一个映射到令牌的cookie,所以当用户行动时,每次我得到一个cookie并且我知道这是用户A.这样的方法是安全的还是不?如果没有,人们通常以何种方式使用令牌?虽然这只是一个爱好项目,但我希望尽可能真实和#34;。有什么想法吗?
答案 0 :(得分:0)
据我所知,Oauth2.0提供InMemoryTokenStore和JdbcTokenStore来持久化令牌。当请求来自经过身份验证的用户时,Oauth2.0将检查它是否已有有效令牌。万一它不会创建一个。
基本上令牌的使用取决于您使用的授权类型。以下是两种常用的授权类型 -
1)隐式 - 令牌作为参数在url中发回,并包含在参数中的后续请求*中。 2)授权码 - 在这种情况下,令牌生成并设置在请求*的标题中。
*此处的请求是最终发送到资源服务器以访问受保护资源的请求。
我认为您不需要创建用于存储令牌的cookie。如果您使用的是默认的Authoziation Code授权类型,Oauth2.0将使用会话来存储将用于检索令牌的状态和代码。