Node.js OAuth2提供程序体系结构-是否应将带有访问令牌的请求与客户端密钥&;客户也有秘密吗?
我正在Node.js上构建OAuth2提供程序和API 我已经建立了一个系统来授予Node.js OAuth2提供程序体系结构-是否应将带有访问令牌的请求与客户端密钥&;客户也有秘密吗?,node.js,sdk,oauth-2.0,Node.js,Sdk,Oauth 2.0,我正在Node.js上构建OAuth2提供程序和API 我已经建立了一个系统来授予访问令牌,并需要客户端密钥和客户端密钥才能这样做 但是,一旦授予了access\u令牌,并且客户机用户对API资源执行GET或POST请求,是否会将Client\u密钥和Client\u secret与该请求以及所有后续请求一起传递 我一直认为只需要一个access\u令牌,但是在查看了一些SDK(像这样)之后,他们正在使用OAuth客户端执行对API资源的后续请求,看起来每次都会包含客户机密钥和客户机密钥。该规范
访问令牌
,并需要客户端密钥
和客户端密钥
才能这样做
但是,一旦授予了access\u令牌
,并且客户机用户对API资源执行GET或POST请求,是否会将Client\u密钥
和Client\u secret
与该请求以及所有后续请求一起传递
我一直认为只需要一个
access\u令牌
,但是在查看了一些SDK(像这样)之后,他们正在使用OAuth客户端执行对API资源的后续请求,看起来每次都会包含客户机密钥
和客户机密钥
。该规范只需要访问令牌。授权服务器本身肯定能够查找令牌的每个授权细节
但是,在某些用例中,受保护的资源还应该能够识别客户机(例如,进行访问日志记录),但是规范没有涵盖如何进行此操作。使用JWS或其他自包含令牌,您可以手动从令牌中提取客户端id(以及其他所有内容),但服务器也可以自由使用不同的令牌表示
总之,除了访问令牌之外,还包括客户端信息可能是Twitter和其他受保护资源用于识别其客户端的自定义实现细节