1. 首頁
  2. 問答
  3. 如何驗證中的access_token資源服務器有關的oauth2

如何驗證中的access_token資源服務器有關的oauth2

2016-09-05 111 views
0

我做資源服務器和auth服務器如何驗證中的access_token資源服務器有關的oauth2

,但我不明白的建設

1.2。協議流程

+--------+        +---------------+ 
|  |--(A)- Authorization Request ->| Resource | 
|  |        |  Owner  | 
|  |<-(B)-- Authorization Grant ---|    | 
|  |        +---------------+ 
|  | 
|  |        +---------------+ 
|  |--(C)-- Authorization Grant -->| Authorization | 
| Client |        |  Server | 
|  |<-(D)----- Access Token -------|    | 
|  |        +---------------+ 
|  | 
|  |        +---------------+ 
|  |--(E)----- Access Token ------>| Resource | 
|  |        |  Server | 
|  |<-(F)--- Protected Resource ---|    | 
+--------+        +---------------+ 

+--------+           +---------------+ 
|  |--(A)------- Authorization Grant --------->|    | 
|  |           |    | 
|  |<-(B)----------- Access Token -------------|    | 
|  |    & Refresh Token    |    | 
|  |           |    | 
|  |       +----------+ |    | 
|  |--(C)---- Access Token ---->|   | |    | 
|  |       |   | |    | 
|  |<-(D)- Protected Resource --| Resource | | Authorization | 
| Client |       | Server | |  Server | 
|  |--(E)---- Access Token ---->|   | |    | 
|  |       |   | |    | 
|  |<-(F)- Invalid Token Error -|   | |    | 
|  |       +----------+ |    | 
|  |           |    | 
|  |--(G)----------- Refresh Token ----------->|    | 
|  |           |    | 
|  |<-(H)----------- Access Token -------------|    | 
+--------+   & Optional Refresh Token  +---------------+

我讀的oauth2文件

我不明白,

化妝的access_token在auth服務器,這個圖是不是真實性的方法,但如何資源服務器驗證?

來源

2016-09-05 You.Brighton

回答

0

資源服務器如何驗證令牌超出了OAuth2規範的範圍。現在您可以使用以下方法: 1.在Authz服務器上提供自檢端點,用於驗證令牌的真實性並回應該令牌的解碼內容 2. Authz服務器和資源服務器使用證書機制在它們之間創建信任。在這裏你又有兩個選擇: a。如果您希望Authz服務器在控制範圍內,則Authz服務器可以使用私鑰對令牌進行簽名,並且資源服務器可以使用AuthzServer提供的公共證書驗證簽名。做相反的事情,在這裏在Authz服務器上規定上傳資源服務器的證書,Authz服務器使用該證書爲令牌簽名,資源服務器使用它的私鑰來驗證內容。 https://github.com/IdentityModel/Thinktecture.IdentityModel/tree/master/source

他們實現一個完整的系統,然後被很多人誰需要的OAuth2系統的人:如果你想了解更多關於實際實現你總是可以看看Thinktecture代碼

來源

2016-09-05 20:05:33 dvsakgec

0

。我還有一篇關於這個主題的文章,歡迎您查看:https://eidand.com/2015/03/28/authorization-system-with-owin-web-api-json-web-tokens/

來源

2016-09-06 06:56:10

+0

謝謝。我知道了。我想知道如何知道輕量級流量的真實性檢查。有人說。如果你想驗證令牌。你總是要求AS。但是這種情況使得AS的流量很大。所以我想如果我使用jwt比它減少流量。最後我確信你的意見。 –

相關問題

 相關問題