几年来,我一直在构建和修改Bearer令牌和OAuth / OAuth2。而且我感觉自己对此有很好的理解,但是当我搜索如何做自己想做的事情时,似乎找不到了。
一般理解。有一个服务器可以授予令牌(还可以验证/无效/刷新令牌)。然后是使用令牌的服务器(或应用程序)。我不使用外部api库做任何事情,但是我们有几个公司站点,并且我想创建一个授予访问令牌的登录服务器。
因此,我将有1台服务器授予令牌,然后有一个单独的API服务器,该服务器使用该令牌授权用户访问端点,当然还有前端部分。但是我似乎遇到的问题是弄清楚如何设置服务器以使用令牌。每个人似乎都在解释如何创建授予它的服务器。太酷了,我知道如何从Google获取令牌并使用它。但是我想创建一个通过访问令牌授予授权的服务器。
因此,可以说,我的SPA应用程序做出反应,从服务器A(即OAuth2服务器)请求访问令牌。我们正在使用凭据流,因为它是公司/注册用户登录。如果成功,则将授予他们访问和身份令牌。凉。将它们存储在前端。然后,我想从服务器B(网站API服务器)请求我的...约会。我将访问令牌作为承载令牌传递。服务器B应该设置为OAuth 2服务器,但只能设置为客户端服务器。如果访问令牌的范围和客户端(当然还有秘密)与访问令牌不匹配,则拒绝用户访问服务器B的端点。服务器B不需要知道访问令牌,因为它知道服务器A使用的秘密。它可以自己对其进行验证。
这是正确的还是我在大量看OAuth2错误?