2016-06-28 93 views
0

我已經看到OAuth 2.0協議需要具有API的「Web App Server」以及驗證用戶的「OAuth 2」服務器。雖然這可以在單個服務器上完成,還是有特定的原因,它必須在兩臺獨立的服務器上完成?OAuth 2.0與單個服務器

身份驗證是否可以在單個Web服務器上進行登錄API調用,該服務器本身會返回一個訪問令牌,或者這會成爲驗證錯誤的方式嗎?

回答

4

OAuth 2.0術語中的「Web App Server」或資源服務器以及OAuth 2.0術語中的「OAuth 2」服務器或授權服務器當然可以位於同一臺服務器上。這個概念是爲了將用戶(資源所有者)的認證和來自應用程序本身的調用者(客戶端)的授權分離爲單獨的服務(授權服務器),但是假定該單獨的服務是否在同一個盒子上是不相關的你控制兩個。

身份驗證可以是返回訪問令牌的登錄API調用。例如,所謂的資源所有者密碼憑證授予(https://tools.ietf.org/html/rfc6749#section-4.3)和客戶端證書授予(https://tools.ietf.org/html/rfc6749#section-4.4)。