我有两台服务器,比方说A和B。服务器A将对用户进行身份验证并生成令牌。
现在在服务器B上如何检查令牌是否有效?每次检查有效令牌时是否必须通过服务器A?
我是否必须将令牌与服务器B中的过期日期一起保存,并检查服务器B上的验证?
答案 0 :(得分:1)
如果发出访问令牌的服务器(授权服务器)和提供受访问令牌保护的API的服务器(资源服务器)不同,那么实现时,资源服务器每次验证访问令牌时都必须与授权服务器通信。
RFC 7662(OAuth 2.0 Token Introspection)定义了内省端点的规范,授权服务器为资源服务器提供内核访问令牌。资源服务器托管的API的实现预计会调用内省端点来验证客户端应用程序提供的访问令牌。