我尝试了解REST服务如何与OAuth 2.0配合使用。 access_token是什么以及如何理解我理解。但是资源服务器(REST服务)如何使用我不理解的access_token。每次收到access_token(来自客户端的REST调用)验证时,资源服务器是否向Authorization Server发出请求?
答案 0 :(得分:3)
在OAuth 2.0标准中,关于访问令牌的外观以及如何验证和解释的协议由资源服务器(RS)和授权服务器(AS)决定。因此,RS完全有可能在每次收到您描述的访问令牌时执行验证调用。由于性能原因,RS更有可能缓存查找结果;这是今天广泛部署的模型。
授权服务器也可以以这样的方式构造访问令牌,即RS可以自己验证它。一个例子是使用JSON Web Token作为访问令牌格式。
最重要的是:OAuth 2.0的扩展标准化了您描述的RS和AS之间的验证交互。它被称为" OAuth 2.0 Token Introspection"并且可以找到here。 RS和AS可能同意遵守这一点,这将增加RS与另一个AS互操作的机会。