我对Oauth 2.0的经验很少,我正在努力更好地了解系统的工作原理。访问令牌是否与用户/设备/会话绑定?例如,我可以迁移为一个应用程序授予的访问令牌并在另一个应用程序中使用它吗?服务器/ API如何知道?我相信大多数API都使用app_ID进行应用请求,是否有任何其他数据进入令牌请求?
谢谢!
答案 0 :(得分:1)
OAuth 2.0协议框架旨在允许不同类型的访问令牌,但到目前为止已经标准化的唯一访问令牌是所谓的“承载”#34;令牌,所以我假设你的问题与此有关。
A Bearer令牌对客户端来说是不透明的,这意味着它只是一个"标识符"或"字符串"客户端传递给资源服务器以访问受保护资源。这也意味着它没有专门与设备/会话或客户端绑定。事实上,任何持有Bearer令牌的人都可以使用它来访问受保护的资源。这是Bearer令牌的已知缺点之一,但它使得实现它们非常容易。它依赖于安全的HTTPs通道来保密。
上一段描述了如何使用承载令牌。客户端必须经历获取这样的令牌的过程可以包括确实向授权服务器呈现客户端标识符和客户端秘密。但是资源服务器(也称为服务器或API)不知道或不关心客户端如何获得承载令牌。
正在开发的OAuth 2.0的令牌扩展需要客户端证明它是令牌的合法所有者。这种代币被称为"占有证明"令牌和可能在具有更高安全性要求的环境中有用。请参阅:http://docs.oracle.com/javase/7/docs/technotes/tools/windows/classpath.html