将OAuth请求与响应匹配

时间:2017-11-12 20:19:12

标签: authentication oauth oauth-2.0 authorization

关注authorization_code授权类型(服务器到服务器)我很困惑客户端(在这种情况下是一个Web服务器应用程序)如何匹配对传出请求的响应(肯定)。

响应是重定向,其中包含URL中的代码(对令牌部分不感兴趣)。 Web服务器如何知道此代码属于谁?

1 个答案:

答案 0 :(得分:0)

现在与OAuth合作几周后,我现在明白了它是如何工作的。

如果我们正在讨论授予应用程序A登录用户U授权以访问资源R.

  1. 用户U在应用程序A中启动并在浏览器中登录,这意味着在大多数情况下使用会话令牌设置cookie。
  2. 用户U被重定向到他将登录的应用程序/资源R(或者使用资源R会话cookie自动登录)。
  3. 假设他批准了请求,然后他将在浏览器中重定向回代码为C的应用程序A.
  4. 此处,来自步骤1的应用程序A的seeion cookie再次呈现给服务器,但同时附带代码C.然后,应用程序A的服务器可以使用此代码为用户U获取令牌。
相关问题
最新问题