0
我想创建OAuth 2.0应用,并已决定分开验证服务器和资源服务器。 我应该如何去在客户端保持状态分离验证服务器和资源服务器的OAuth 2.0
客户端身份验证令牌要权威性服务器将请求。 auth服务器将验证并发送令牌。直到这个部分我明白。我现在应该如何使用令牌。我应该做的请求,直接访问令牌和资源服务器资源服务器应核实与验证服务器访问令牌?或者我应该首先向auth服务器发出请求,然后验证并转发请求到资源服务器?
A
回答
1
的RFC(http://tools.ietf.org/html/rfc6749)指出:
(F)的资源服务器验证的访问令牌,如果有效, 请求提供服务。
也认为:
授权服务器和资源服务器之间的交互 超出了本规范的范围。
我的直觉是有你的资源服务器接收请求,然后或者如果可能的话验证访问令牌本身 - 否则查询auth服务器视为必要的,而不是有auth服务器代理请求。
0
通过访问表示访问 令牌资源服务器保护资源
客户端访问受保护的资源。资源服务器必须验证 访问令牌,并确保它没有过期,并且其范围 覆盖所请求的资源。资源 服务器用于验证访问令牌(以及任何错误响应) 的方法超出了本说明书的范围,但通常涉及资源服务器和授权服务器之间的交互或协调。
客户端使用访问令牌到 向资源服务器进行认证的方法取决于授权服务器发出的访问类型 。通常,它涉及 使用HTTP“授权”请求标头字段[RFC2617]和 认证方案,该认证方案由访问 使用的标记类型(例如[RFC6750])定义。
相关问题
- 1. 的OAuth 2.0实例验证服务器
- 2. OAuth 2.0。服务器如何验证access_tokens
- 3. Oauth2:构建身份验证服务器和资源服务器
- 4. OAuth 2.0服务器
- 5. 如何验证OAuth资源服务器中的访问令牌
- 6. 允许身份验证服务器访问资源服务器
- 7. 验证Spring RESTful资源服务器上的OAuth 2.0访问令牌
- 8. 用AspNet.Security.OpenIdConnect分离认证和资源服务器 - 受众?
- 9. oauth 2.0到微软认证服务器
- 10. OAuth 2.0授权服务器
- 11. 服务器端OAuth 2.0
- 12. 如何安全使用OAuth 2.0的多个资源服务器?
- 13. Spring Security OAuth 2.0 - 创建自定义资源服务器
- 14. 守门员与授权服务器分开资源服务器
- 15. ASP.NET 2.0中的服务器端验证
- 16. 身份验证和资源服务器之间的OAuth v2通信
- 17. 分析服务器和报告服务的资源
- 18. 谷歌OAuth 2.0服务器到服务器:不好的请求
- 19. OAuth 2.0实现 - Auth服务器和资源服务器应该有独立的数据库吗?
- 20. 的OAuth 2.0服务,认证服务和最佳实践
- 21. 的OAuth 2.0服务器的PHP
- 22. ,C#,服务器验证和验证块
- 23. Knockoutjs验证和服务器验证
- 24. 分离的Web服务器和应用程序服务器?
- 25. 使用RemoteTokenServices解耦授权服务器和资源服务器
- 26. 验证Web服务资源的路径
- 27. OAuth2认证服务器和资源服务器使用Spring启动
- 28. 可以使用oAuth 2.0服务器代替oAuth 1.0服务器吗?
- 29. Urllib和服务器证书的验证
- 30. OAuth 2.0与单个服务器
我会接受这个答案。这是我认为我应该做的。谢谢 – Yalamber
登录部分应该在哪里?在Auth服务器或资源服务器本身? – Yalamber
我希望你的auth服务器是发布访问令牌的服务器。 – aeijdenberg