我想了解OAuth 2.0和OpenID Connect,我有一个重要问题:OpenID连接端点如何与对方通信?Openid连接端点之间的通信
示例:在授权码流的情况下,如果授权端点向客户端提供了access_token,则该端口将此令牌发送到UserInfo端点以获取用户信息。 因此,这里的问题是,UserInfo Endpoint如何验证发出的access_token客户端是否正确?这两个端点之间是否存在沟通?
感谢您的回答。
UserInfo Endpoint必须能够解释从Authorization Endpoint或Token Endpoint发出的访问令牌。
在一个简单的实现中,所有端点都在一台服务器上实现。在这种情况下,只有通过引用存储由授权端点或令牌端点发出的访问令牌的相同数据库表,UserInfo端点才能轻松获取有关访问令牌的信息。另一方面,如果在授权服务器上实现授权端点和令牌端点,并且在资源服务器上实施UserInfo端点,则资源服务器必须询问授权服务器以获取有关访问令牌的信息。 RFC 7662(OAuth 2.0令牌自检)是定义如何从授权服务器获取有关访问令牌信息的标准。
RFC 7662是标记内省的标准,但授权/资源服务器的实现者不一定有强烈的动机来支持该规范。如果您对原因感兴趣,请参阅“4. Introspect Access Token”。
顺便说一句,在授权码流中,访问令牌不是从授权端点发出,而是从令牌端点发出。流中授权端点发出的是授权码(不是访问令牌)。
非常感谢这个解释。 – isedrof