我想创建OAuth 2.0应用,并已决定分开验证服务器和资源服务器。 我应该如何去在客户端保持状态分离验证服务器和资源服务器的OAuth 2.0
客户端身份验证令牌要权威性服务器将请求。 auth服务器将验证并发送令牌。直到这个部分我明白。我现在应该如何使用令牌。我应该做的请求,直接访问令牌和资源服务器资源服务器应核实与验证服务器访问令牌?或者我应该首先向auth服务器发出请求,然后验证并转发请求到资源服务器?
我想创建OAuth 2.0应用,并已决定分开验证服务器和资源服务器。 我应该如何去在客户端保持状态分离验证服务器和资源服务器的OAuth 2.0
客户端身份验证令牌要权威性服务器将请求。 auth服务器将验证并发送令牌。直到这个部分我明白。我现在应该如何使用令牌。我应该做的请求,直接访问令牌和资源服务器资源服务器应核实与验证服务器访问令牌?或者我应该首先向auth服务器发出请求,然后验证并转发请求到资源服务器?
的RFC(http://tools.ietf.org/html/rfc6749)指出:
(F)的资源服务器验证的访问令牌,如果有效, 请求提供服务。
也认为:
授权服务器和资源服务器之间的交互 超出了本规范的范围。
我的直觉是有你的资源服务器接收请求,然后或者如果可能的话验证访问令牌本身 - 否则查询auth服务器视为必要的,而不是有auth服务器代理请求。
通过访问表示访问 令牌资源服务器保护资源
客户端访问受保护的资源。资源服务器必须验证 访问令牌,并确保它没有过期,并且其范围 覆盖所请求的资源。资源 服务器用于验证访问令牌(以及任何错误响应) 的方法超出了本说明书的范围,但通常涉及资源服务器和授权服务器之间的交互或协调。
客户端使用访问令牌到 向资源服务器进行认证的方法取决于授权服务器发出的访问类型 。通常,它涉及 使用HTTP“授权”请求标头字段[RFC2617]和 认证方案,该认证方案由访问 使用的标记类型(例如[RFC6750])定义。
我会接受这个答案。这是我认为我应该做的。谢谢 – Yalamber
登录部分应该在哪里?在Auth服务器或资源服务器本身? – Yalamber
我希望你的auth服务器是发布访问令牌的服务器。 – aeijdenberg