如何限制在另一台机器上使用一台机器的Issued访问令牌

时间:2015-06-13 04:54:00

标签: single-sign-on access-token thinktecture-ident-server

我使用ThinkTecture身份服务器v3作为Idenity提供程序。它向我发出访问令牌。我正在使用这些访问令牌进行Web API通信。它运作得很好。

我的问题是,如果有人获得此发布的令牌并尝试使用此访问令牌访问Web API,则他/她可以访问。我验证了它,我获得了访问权限。我们如何限制只有被发出的机器使用的访问令牌?

1 个答案:

答案 0 :(得分:0)

你是对的 - 目前只有一个所谓的承载令牌的标准。拥有令牌的人都可以使用它。这就是为什么对所有网络通信使用传输保护至关重要的原因。

有关于拥有语义和请求签名的证明即将出现的规范。

https://tools.ietf.org/wg/oauth/