Api 如何验证OAuth2+的访问令牌；PCKE流_Api_Session_Login_Token_Onelogin

Api 如何验证OAuth2+的访问令牌；PCKE流

api session login

Api 如何验证OAuth2+的访问令牌；PCKE流,api,session,login,token,onelogin,Api,Session,Login,Token,Onelogin,根据这份文件 PCKE流的令牌端点为无（非基本或POST）因此，我如何使用验证令牌API，因为它支持基本身份验证或POST，但不支持None（PCKE）我找不到任何与此相关的信息注意：我已尝试使用基本身份验证请求，但没有+client\u id，client\u secret作为参数，但不起作用答复401未经授权 { "error": "invalid_client", "error_description": "client authentication failed

根据这份文件

PCKE流的令牌端点为无（非基本或POST）

因此，我如何使用验证令牌API，因为它支持

基本身份验证

或

POST

，但不支持

None（PCKE）

我找不到任何与此相关的信息

注意：我已尝试使用基本身份验证请求，但没有+client\u id，client\u secret作为参数，但不起作用

答复401未经授权

{
    "error": "invalid_client",
    "error_description": "client authentication failed"
}

我将OIDC与PKCE一起使用，并且我使用通过授权代码流检索的令牌成功地调用了端点：

$ curl -i -d "token=...&token_type_hint=access_token&client_id=..." https://openid-connect.onelogin.com/oidc/token/introspection

HTTP/1.1 200 OK
Cache-Control: no-cache, no-store
Content-Length: 304
Content-Type: application/json; charset=utf-8
Date: Thu, 25 Apr 2019 23:37:42 GMT
Pragma: no-cache
X-Powered-By: Express
Set-Cookie: ol_oidc_canary_040819=false; path=/; domain=.onelogin.com

{"active":true,"sub":"...","client_id":"...","exp":1558819177,"iat":1556227177,"sid":"...","iss":"https://openid-connect.onelogin.com/oidc","jti":"...","scope":"openid profile email"}

从身份验证代码流返回的

access\u令牌

和

refresh\u令牌

都有效，而

access\u令牌

仅在过期后返回

{“active”：false}

确保您没有设置

授权

标题，只在有效负载中设置您的

客户端id

。

使用POST正文中的客户端id和代码验证。这将验证该端点上的请求。

我发现不需要在请求正文中传递代码\u verify！？嗨，琼兹。是尼尔。你和我正在通过另一个频道交谈：）哈哈，地球是圆的@尼尔·阿图拉西蒂