资源服务器如何知道我的Bear访问令牌有效

时间:2018-10-04 09:31:51

标签: oauth

REST API如何保护自己免受访问令牌的影响,该访问令牌不是由允许的OAuth访问令牌URL生成的?

  • 由允许的OAuth访问令牌URL生成的令牌
  

“授权:承担MTqvlvbdm73SIsN2PEhsetOwEHW439N2”

  • 黑客产生的令牌
  

“授权:承担CAqvlvbdm73SIsN2PEhsetOwEHW439N2”

1 个答案:

答案 0 :(得分:1)

这超出了Oauth协议的范围:请参阅规范的Section 1.5,并注意您的问题是步骤D。文档中说:

  

步骤(C),(D),(E)和(F)不属于本规范的范围,如第7节所述。

Section 7 says

  

客户端通过向资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证访问令牌,并确保它没有过期,并且其范围涵盖请求的资源。资源服务器用来验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器与授权服务器之间的交互或协调。

但是,我注意到并非总是需要这种方式。例如,如果您的访问令牌是JWT,则资源服务器应该能够在不与授权服务器交互的情况下进行验证。

之所以不在范围之内,是因为它取决于您的体系结构。有多种方法可以实现。例如,如果资源服务器和访问服务器共享相同的数据库,则它们不需要互相交谈。