我正在向需要通过OAuth 2.0进行身份验证的旧版应用程序添加一个简单的Web服务。由于该应用程序使用了较旧的技术(Java 6,Tomcat 6,Struts 1,没有Spring Framework),并且升级应用程序目前不在项目的范围,预算或进度表之内,因此我正在使用Apache Oltu库-年龄较大,但似乎足以满足我的需求。
该服务将在请求标头中从消费者传递一个承载令牌,我可以检索该令牌。我相信下一步将是将带有Web服务的客户端ID和秘密的令牌从其授权OAuth帐户传递到一个(对我而言尚不为人所知)的Oltu令牌验证例程,该例程将使用我们公司域中的PingFederate URL进行验证(即, “ https://fedlogin.xxx.com/as/token.oauth2”),然后获取它是否为有效令牌。这是一个非常低流量的Web服务,因此我不需要担心刷新令牌,将任何内容存储在密钥库/缓存/数据库中等等。
我正在寻找的东西看起来很简单,但是也许我在理解过程中过于简化了事情。我在网上找到了很多示例,但没有提供指南或示例来说明在 this 情况下验证载体令牌的正确方法,参数等。我没有在网上找到的示例中尝试过多种不同的变体。我是OAuth的新手,所以我可能难以使用可用类和方法的术语和命名约定。
有人能建议(或指导我)使用Oltu快速简单地验证承载令牌的方法吗?从网络服务的角度来看,我是在正确的轨道上还是在遗漏/误解了OAuth 2验证工作原理的基础?
编辑:我想我可能对为什么我无法在Oltu库中找到解决方案的答案–它不存在。请在下面查看我的回复...
答案 0 :(得分:0)
我相信我在上一个问题的答案中找到了答案:
“ RS和AS之间的这种交互不属于OAuth 2.0标准的一部分……而应由AS实施来决定如何完成此任务。” -How resource server in OAuth authentication system, verify the token?
这是我所缺少的部分-资源服务器用来针对身份验证服务器验证客户端令牌的身份验证方法的实现留给了授权服务器。这意味着它可能不会包含在许多通用的OAuth 2.0库中,例如Oltu(这就是为什么我找不到一个)。就我而言,由于我们公司使用PingFederate服务器进行身份验证,因此我需要找到较旧版本的PingFederate Java集成套件。