OLTU在其有限的文档中有一个基于生成的UUID提供访问令牌的示例。 见here under Token Endpoint
它还有一个使用JWT(Java Web Tokens)进行服务器到服务器授权here的示例,但仅作为授权授权请求中的承载令牌
现在通常使用JWT作为访问令牌(节省不必要的授权服务器之旅)
是否有任何理由OLTU无法提供开箱即用的功能? 看起来很容易实现自定义解决方案,但我希望有一个基于JWT的ValueGenerator interface实现,以便令牌发布者OAuthIssuerImpl的标准实现可以生成一个
有人在用OLTU这样做吗?
答案 0 :(得分:0)
问题是,OAuth的规范并没有强制使用JWT,因此Oltu的实现,尊重规范并且旨在成为最合规的,使用不包含任何输出的随机字符串其中的信息信息。
来自spec:
访问令牌可以具有不同的格式,结构和方法 基于资源的利用率(例如,加密属性) 服务器安全要求。访问令牌属性和 用于访问受保护资源的方法超出了范围 这个规范