REST API如何保护自己免受访问令牌的影响,该访问令牌不是由允许的OAuth访问令牌URL生成的?
“授权:承担MTqvlvbdm73SIsN2PEhsetOwEHW439N2”
“授权:承担CAqvlvbdm73SIsN2PEhsetOwEHW439N2”
答案 0 :(得分:1)
这超出了Oauth协议的范围:请参阅规范的Section 1.5,并注意您的问题是步骤D。文档中说:
步骤(C),(D),(E)和(F)不属于本规范的范围,如第7节所述。
客户端通过向资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证访问令牌,并确保它没有过期,并且其范围涵盖请求的资源。资源服务器用来验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器与授权服务器之间的交互或协调。
但是,我注意到并非总是需要这种方式。例如,如果您的访问令牌是JWT,则资源服务器应该能够在不与授权服务器交互的情况下进行验证。
之所以不在范围之内,是因为它取决于您的体系结构。有多种方法可以实现。例如,如果资源服务器和访问服务器共享相同的数据库,则它们不需要互相交谈。