我感到困惑與的OAuth2密碼交付式概念OAuth2.0的概念
在here令牌被喜歡使用端點/權利要求
在this site或this blog令牌由JSON對象實現實施包含所有客戶端憑證detials
任何人都可以幫助清除概念好得多嗎?
我感到困惑與的OAuth2密碼交付式概念OAuth2.0的概念
在here令牌被喜歡使用端點/權利要求
在this site或this blog令牌由JSON對象實現實施包含所有客戶端憑證detials
任何人都可以幫助清除概念好得多嗎?
如果您指的是訪問令牌,則它可以是任何類型(無特殊含義的字符串或JSON,XML或其他格式)。 OAuth2 specification這樣說:
訪問令牌是一個字符串,表示發給客戶端的授權。該字符串通常對客戶端不透明。標記 表示由資源所有者授予並由資源服務器和授權 服務器實施的訪問的具體範圍和持續時間。
令牌可以表示用於檢索授權 信息的標識符,或者可以自包含在一個 覈實的方式授權的信息(即,包含一些數據的令牌字符串和 簽名)。
所以它取決於OAuth2的實現。
如果您的意思是ID token(來自OpenID Connect),那麼它必須採用JWT(帶符號JSON)格式。
根據客戶端系統如何獲取代表最終用戶的訪問令牌,有四個Oauth2流來獲取訪問令牌(不是ID令牌)。通過OAuth2密碼授權流程,客戶端應用程序顯示登錄頁面,獲取密碼並使用來自授權服務器的REST API調用來認證用戶。授權服務器在認證成功後將令牌返回給客戶端應用程序。例如移動應用程序,但它比其他Oauth2流程安全性更低,應僅與可信的客戶端應用程序一起使用。我已經寫了一篇關於此的文章,你可以查看它的更多細節,這裏的鏈接是https://www.linkedin.com/pulse/microservices-security-openid-connect-manish-singh
對不起,問這個。這個概念對我來說是純粹的新事物。我仍然無法知道什麼時候使用訪問令牌以及何時使用Id令牌?在oauth正在實施的兩個站點中。那麼這將是最好的方式去? – Jayendran