请求返回我的网站后,Browser Based OAuth之后,
https://oauth2client.com/cb#token=ACCESS_TOKEN,如何验证访问令牌是否真实,让他们进入应用程序?
Web应用程序服务器是否向oauth2server发出请求以证明用户不仅伪造了访问令牌?
使用System.IdentityModel.Services.WSFederationAuthenticationModule是否会请求获取用户声明?我只需要知道用户的声明是真实的,并且不需要从OAuth服务器访问资源。
答案 0 :(得分:2)
隐式授权OAuth流通常由HTML5 / JS单页应用程序使用,这些应用程序使用它们通过片段接收的访问令牌直接向WebAPI调用AJAX。
JavaScript应用程序不需要验证令牌 - 它调用的WebAPI必须。 WebAPI(如果用.net编写)可以使用JWT Token Handler或新的OWIN框架(示例在这里:https://github.com/AzureADSamples/SinglePageApp-DotNet)。
如果您的WebAPI技术没有可用的JWT令牌处理程序,并且您需要手动处理处理,请确保验证: