首先,我认为基于HTTP的身份已成为理解的噩梦,实施起来更糟糕,只是为了说清楚,我认为有太多的选择。
我听起来像是没有得到它的人,我知道......
反正...
我已经实现了一个令牌提供程序,它在我点击端点(/ token)时给了我令牌。这是我的访问令牌,现在我需要了解如何将其存储为后续对实际API的请求。
我可以存储在会话中吗?
接下来,我是否需要为每个请求将访问令牌传递给API?
我对基于令牌的身份验证相当(完全)新手,但有耐心,我会到达那里。
答案 0 :(得分:1)
是的,您需要使用承载方案向授权标头中的每个请求发送令牌,关于存储令牌,OAuth 2.0为您提供如何存储令牌的全部责任,因此如果您正在构建SPA或Server Web APP您可以将其存储在本地存储或cookie中,并从那里读取值并随每个请求发送。
我建议你阅读我的博文,这应该澄清所有歧义 Token based Authentication