我经历了各种博客,解释了使用令牌进行身份验证的问题。 但是没有一个站点解释了令牌认证如何在REST服务端工作。 例如:我有一个令牌T1,由认证服务器提供给我的应用程序。 我将发送此T1以及我对REST服务S1的请求。那么S1将如何知道T1来自经过身份验证的客户端? 每次REST服务请求都通过身份验证服务器吗?
答案 0 :(得分:1)
I have a token T1 which is given to my app by the authentication server. I will send this T1 with my request for REST service S1. So how will S1 come to know that T1 is from authenticated client?
这取决于服务器端的身份验证机制的实现。例如,如果您使用OAuth,则它将基于客户端指定的client_id和client_secret。
And does the request for REST services goes through authentication server everytime?
是的,REST服务应该是无状态的,因此对于每个请求,执行一些身份验证逻辑以验证令牌(OAuth,自定义等)是否有效。它可能不是完全流向认证服务器并返回,但有一些逻辑基于您的安全实现。