Api 如何访问资源服务器上的最终用户上下文
我有一个API管理实现,如下所示 最终用户Web应用程序API服务器网关API资源服务器 我使用OAuth grant_type=code对用户凭据进行身份验证,然后使用令牌访问API资源 作为API提供者(资源开发人员),我需要访问最终用户凭据(或至少上下文),以了解谁发起了请求,并提供为用户定制的响应Api 如何访问资源服务器上的最终用户上下文,api,security,oauth,openid,Api,Security,Oauth,Openid,我有一个API管理实现,如下所示 最终用户Web应用程序API服务器网关API资源服务器 我使用OAuth grant_type=code对用户凭据进行身份验证,然后使用令牌访问API资源 作为API提供者(资源开发人员),我需要访问最终用户凭据(或至少上下文),以了解谁发起了请求,并提供为用户定制的响应 可能吗?如果是,这是否违反了OpenID/OAtuh标准?是的,这是可能的,不是-您不会违反OAuth标准。原因:令牌验证(授权服务器和资源服务器之间的信息交换超出OAuth规范的范围) 引用
可能吗?如果是,这是否违反了OpenID/OAtuh标准?是的,这是可能的,不是-您不会违反OAuth标准。原因:令牌验证(授权服务器和资源服务器之间的信息交换超出OAuth规范的范围) 引用 因为OAuth 2.0[RFC6749]没有为资源定义协议 服务器了解已接收令牌的元信息 在授权服务器上,已经使用了几种不同的方法 为弥合这一差距而开发 由于内省,授权服务器将返回的两个最重要的实体是用户标识符和批准的范围(通过提供的令牌) 内省可以通过几种方式进行:
- 谷歌方式:
- JWT-基于JWT的访问令牌具有可用的范围和用户信息,因此可能无需联系授权服务器进行验证*
- 等等