如何使用和存储来自oauth2的令牌进行身份验证

Question

对不起，如果这是问题太广泛，但我必须问这个，因为我正在学习web开发，我觉得如果不问我不会知道。

因此，我正在使用oauth2进行身份验证，现在我已经成功验证用户身份，现在我正在接收他们所称的令牌。问题是，你如何使用令牌来认证用户到你自己的服务器？

我想创建一个映射到令牌的cookie，所以当用户行为时，每次我会得到一个cookie，并且我知道这是用户A.是否像这样的方法是安全的？如果不是，人们通常以什么方式使用令牌？虽然这只是一个爱好项目，但我希望“尽可能真实”。有什么想法吗？

Answer 1

据我所知，Oauth2.0提供了InMemoryTokenStore和JdbcTokenStore来保存令牌。当请求来自经过验证的用户时，Oauth2.0会检查它是否已经有了有效的令牌。如果不是，它会创建一个。

令牌的基本用法取决于您使用的授权类型。以下是两种常用的授权类型 -

1）隐式 - 令牌在url中作为参数发回并包含在参数中的后续请求*中。 2）授权码 - 在这种情况下，令牌生成并设置在请求的头部*中。

*这里的请求是最终发送到资源服务器访问受保护资源的请求。

我认为你不需要创建一个用于存储令牌的cookie。如果您使用默认的Authoziation Code授权类型，则Oauth2.0将使用会话来存储将用于检索令牌的状态和代码。