Node.js 如何验证资源服务器中关于oauth2的access_令牌
我创建了资源服务器和身份验证服务器 但我不懂建筑 1.2。协议流Node.js 如何验证资源服务器中关于oauth2的access_令牌,node.js,login,verify,oauth2,Node.js,Login,Verify,Oauth2,我创建了资源服务器和身份验证服务器 但我不懂建筑 1.2。协议流 +--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorizatio
+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| |<-(B)-- Authorization Grant ---| |
| | +---------------+
| |
| | +---------------+
| |--(C)-- Authorization Grant -->| Authorization |
| Client | | Server |
| |<-(D)----- Access Token -------| |
| | +---------------+
| |
| | +---------------+
| |--(E)----- Access Token ------>| Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+
+--------+ +---------------+
| |--(A)------- Authorization Grant --------->| |
| | | |
| |<-(B)----------- Access Token -------------| |
| | & Refresh Token | |
| | | |
| | +----------+ | |
| |--(C)---- Access Token ---->| | | |
| | | | | |
| |<-(D)- Protected Resource --| Resource | | Authorization |
| Client | | Server | | Server |
| |--(E)---- Access Token ---->| | | |
| | | | | |
| |<-(F)- Invalid Token Error -| | | |
| | +----------+ | |
| | | |
| |--(G)----------- Refresh Token ----------->| |
| | | |
| |<-(H)----------- Access Token -------------| |
+--------+ & Optional Refresh Token +---------------+
+----------++---------------+
||--(A)-授权请求->资源|
|| |所有者|
|| |授权|
|客户端| |服务器|
|| |资源|
|| |服务器|
| || |
| | | |
| || | | |
| | | | | |
| || | | |
| | | | | |
| || |
| | | |
||资源服务器如何验证令牌是否超出OAuth2规范的范围。现在,对于您的用例,您可以执行以下操作:
1.在Authz服务器上提供内省端点,该端点验证令牌的真实性,并使用该令牌的解码内容进行响应
2.Authz服务器和资源服务器使用证书机制在它们之间创建信任。在这里,您还有两个选择:
A.如果希望Authz server控制,则Authz server可以使用私钥对令牌进行签名,而资源服务器可以使用AuthzServer提供的公共证书验证签名
B相反,这里在Authz server上提供了上载资源服务器的证书,Authz server使用该证书对令牌进行签名,而资源服务器使用其私钥验证内容。资源服务器如何验证令牌不在OAuth2规范的范围内。现在,对于您的用例,您可以执行以下操作:
1.在Authz服务器上提供内省端点,该端点验证令牌的真实性,并使用该令牌的解码内容进行响应
2.Authz服务器和资源服务器使用证书机制在它们之间创建信任。在这里,您还有两个选择:
A.如果希望Authz server控制,则Authz server可以使用私钥对令牌进行签名,而资源服务器可以使用AuthzServer提供的公共证书验证签名
B相反,此处在Authz server上提供了上载资源服务器的证书,Authz server使用该证书对令牌进行签名,而资源服务器使用其私钥验证内容。如果您想了解有关实际实现的更多信息,您可以随时查看Thinktecture的代码:
他们实现了一个完整的系统,然后被许多需要OAuth2系统的人使用。我也有一篇关于这一主题的文章,欢迎您查看:如果您想了解更多关于实际实现的信息,您可以随时查看Thinktecture的代码:
他们实现了一个完整的系统,然后被许多需要OAuth2系统的人使用。我也有一篇关于这个主题的文章,欢迎您查看:谢谢。我得到了它。我想知道如何了解轻交通。有人说。如果您想要验证令牌。你总是请求作为。但这种情况下,它使交通繁忙的AS。所以我想如果我使用jwt,它会减少流量。最后,我相信你的意见。谢谢。我得到了它。我想知道如何了解轻交通。有人说。如果您想要验证令牌。你总是请求作为。但这种情况下,它使交通繁忙的AS。所以我想如果我使用jwt,它会减少流量。最后,我相信你的意见。