我对Oauth2有很好的处理能力,它已经连接到多个服务作为客户端。现在,我正致力于实现客户端将与Oauth2连接的服务。
接受任何有效的用户访问令牌而不验证提供给我的应用程序实际上是我第一次提供令牌的应用程序似乎是错误的。在Oauth2规范和包括this one在内的几篇文章中,没有讨论这个主题。除了他们给我的用户令牌之外,客户有没有一种标准方式告诉我他们是谁?
答案 0 :(得分:1)
没有标准的客户识别方法,这是规范中故意遗漏的。
如果您可以自由地在实现中做出选择,那么最接近的就是使用JWS令牌。它们包含JSON格式的授权数据,并且已签名但未加密。受保护的资源本身可以在不咨询授权服务器的情况下轻松地验证JWS令牌,并且可以根据需要简单地提取任何授权细节,例如,客户端ID。
另一种可能性是明确地向请求添加client_id(参见例如this question),但这远非标准。