我在理解OAUTH-v2如何工作方面遇到一些麻烦。身份验证和资源服务器之间的OAuth v2通信
访问受保护的资源
客户机访问由呈现所述接入
令牌到资源服务器保护 资源。资源服务器必须验证
访问令牌并确保它没有 已过期,并且其范围覆盖
请求的资源。所使用的资源服务器
方法 验证访问令牌(以及 任何错误响应)是超出了本说明书的 范围,但 通常涉及资源 服务器之间的交互或 协调和授权
服务器。
如何资源服务器和授权服务器工作在实践中之间的这种互动?
- 怎样的资源服务器 确定访问令牌收到 是有效的?
- 资源服务器如何从令牌中提取允许的 作用域以查看是否应将访问权限授予特定资源?范围是在访问令牌中编码的,还是资源服务器首先必须联系授权服务器?
- 资源服务器和授权服务器之间的信任是如何建立的?
访问令牌属性和用于访问 方法保护 资源超出了 规范的范围和 同伴规范的定义。
有人可以给出令牌属性的例子吗?
如果发布和验证令牌的实体没有静态白/公共IP,那么对客户端/资源所有者的服务提供者回调无法通过HTTP完成,因此需要更精细的实现? – 2011-08-02 23:37:23
回调不由服务提供者执行,但由用户的浏览器执行。不确定你在问什么。 – 2011-08-03 05:30:51