当客户端使用OAuth访问令牌向资源服务发送请求时, 资源服务如何检查访问令牌?资源服务器是否针对某个实体验证访问令牌?
答案 0 :(得分:0)
当资源服务器收到带有OAuth访问令牌的请求时,它有两个选项可以验证访问令牌。
第一种选择是联系授权服务器的token introspection endpoint。该端点是由RFC7662定义的标准端点,它是OAuth 2.0规范的一部分。根据该规范。资源服务器可以将令牌自省请求发送到授权服务器。如果访问令牌有效(例如:-尚未过期),则响应将包含active=true状态。请通过RFC7662了解其工作原理。
第二个选项是使用自包含令牌。通过这种方法,授权服务器发布基于JWT的访问令牌。资源服务器收到此令牌后,便可以遍历JWT的内容来标识访问令牌的有效性。
答案 1 :(得分:0)
使用oauth2 scopes
针对特定资源上的特定操作对令牌进行验证资源服务器自己执行验证的方式depends on the implementation,最简单的方法是使用“自包含令牌”,例如JWT,这样您就可以从令牌本身获取范围,而无需进行额外的查找。
如果您的服务器使用传统的http REST语义公开资源,则最简单的实现是使用http中间件/过滤器,该中间件/过滤器仅检查资源uri和http谓词以确定操作的有效性