我有一个API管理实现如下。
最终用户< - > Web App< - > API服务器网关< - > API资源服务器
我使用OAuth grant_type = code来验证用户凭据,然后使用令牌访问API资源。
作为API提供程序(资源开发人员),我需要访问最终用户凭据(或至少上下文)以了解谁在发起请求并提供为用户定制的响应。
有可能吗?如果是,那是否违反了OpenID / OAtuh标准?
答案 0 :(得分:0)
是的,这是可能的,不是 - 您不会违反OAuth标准。原因:标记的验证(授权服务器和资源服务器之间的信息交换超出了OAuth规范的范围)。
引自OAuth 2.0 Token Introspection
由于OAuth 2.0 [RFC6749]没有为资源定义协议 服务器,用于学习有关已收到的令牌的元信息 从授权服务器,已经有几种不同的方法 为弥合这一差距而发展。
授权服务器因内省而返回的两个最重要的实体是用户标识符和已批准的范围(通过提供的令牌)。< / p>
内省可以通过以下几种方式完成: