OAuth2.0的概念

Question

我感到困惑与的OAuth2密码交付式概念

在here令牌被喜欢使用端点/权利要求
在this site或this blog令牌由JSON对象实现实施包含所有客户端凭证detials

任何人都可以帮助清除概念好得多吗？

Answer 1

如果您指的是访问令牌，则它可以是任何类型（无特殊含义的字符串或JSON，XML或其他格式）。 OAuth2 specification这样说：

访问令牌是一个字符串，表示发给客户端的授权。该字符串通常对客户端不透明。标记 表示由资源所有者授予并由资源服务器和授权 服务器实施的访问的具体范围和持续时间。

令牌可以表示用于检索授权 信息的标识符，或者可以自包含在一个 核实的方式授权的信息（即，包含一些数据的令牌字符串和 签名）。

所以它取决于OAuth2的实现。

如果您的意思是ID token（来自OpenID Connect），那么它必须采用JWT（带符号JSON）格式。

Answer 2

根据客户端系统如何获取代表最终用户的访问令牌，有四个Oauth2流来获取访问令牌（不是ID令牌）。通过OAuth2密码授权流程，客户端应用程序显示登录页面，获取密码并使用来自授权服务器的REST API调用来认证用户。授权服务器在认证成功后将令牌返回给客户端应用程序。例如移动应用程序，但它比其他Oauth2流程安全性更低，应仅与可信的客户端应用程序一起使用。我已经写了一篇关于此的文章，你可以查看它的更多细节，这里的链接是https://www.linkedin.com/pulse/microservices-security-openid-connect-manish-singh