Node.js 如何验证资源服务器中关于oauth2的access_令牌

我创建了资源服务器和身份验证服务器

但我不懂建筑

1.2。协议流

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

 +--------+                                           +---------------+
 |        |--(A)------- Authorization Grant --------->|               |
 |        |                                           |               |
 |        |<-(B)----------- Access Token -------------|               |
 |        |               & Refresh Token             |               |
 |        |                                           |               |
 |        |                            +----------+   |               |
 |        |--(C)---- Access Token ---->|          |   |               |
 |        |                            |          |   |               |
 |        |<-(D)- Protected Resource --| Resource |   | Authorization |
 | Client |                            |  Server  |   |     Server    |
 |        |--(E)---- Access Token ---->|          |   |               |
 |        |                            |          |   |               |
 |        |<-(F)- Invalid Token Error -|          |   |               |
 |        |                            +----------+   |               |
 |        |                                           |               |
 |        |--(G)----------- Refresh Token ----------->|               |
 |        |                                           |               |
 |        |<-(H)----------- Access Token -------------|               |
 +--------+           & Optional Refresh Token        +---------------+

+----------++---------------+
||--（A）-授权请求->资源|
|| |所有者|
|| |授权|
|客户端| |服务器|
|| |资源|
|| |服务器|
|        ||               |
|        |                                           |               |
|        ||          |   |               |
|        |                            |          |   |               |
|        ||          |   |               |
|        |                            |          |   |               |
|        ||               |
|        |                                           |               |
||资源服务器如何验证令牌是否超出OAuth2规范的范围。现在，对于您的用例，您可以执行以下操作：
1.在Authz服务器上提供内省端点，该端点验证令牌的真实性，并使用该令牌的解码内容进行响应
2.Authz服务器和资源服务器使用证书机制在它们之间创建信任。在这里，您还有两个选择：
A.如果希望Authz server控制，则Authz server可以使用私钥对令牌进行签名，而资源服务器可以使用AuthzServer提供的公共证书验证签名
B相反，这里在Authz server上提供了上载资源服务器的证书，Authz server使用该证书对令牌进行签名，而资源服务器使用其私钥验证内容。
资源服务器如何验证令牌不在OAuth2规范的范围内。现在，对于您的用例，您可以执行以下操作：
1.在Authz服务器上提供内省端点，该端点验证令牌的真实性，并使用该令牌的解码内容进行响应
2.Authz服务器和资源服务器使用证书机制在它们之间创建信任。在这里，您还有两个选择：
A.如果希望Authz server控制，则Authz server可以使用私钥对令牌进行签名，而资源服务器可以使用AuthzServer提供的公共证书验证签名
B相反，此处在Authz server上提供了上载资源服务器的证书，Authz server使用该证书对令牌进行签名，而资源服务器使用其私钥验证内容。
如果您想了解有关实际实现的更多信息，您可以随时查看Thinktecture的代码：

他们实现了一个完整的系统，然后被许多需要OAuth2系统的人使用。我也有一篇关于这一主题的文章，欢迎您查看：
如果您想了解更多关于实际实现的信息，您可以随时查看Thinktecture的代码：

他们实现了一个完整的系统，然后被许多需要OAuth2系统的人使用。我也有一篇关于这个主题的文章，欢迎您查看：
谢谢。我得到了它。我想知道如何了解轻交通。有人说。如果您想要验证令牌。你总是请求作为。但这种情况下，它使交通繁忙的AS。所以我想如果我使用jwt，它会减少流量。最后，我相信你的意见。谢谢。我得到了它。我想知道如何了解轻交通。有人说。如果您想要验证令牌。你总是请求作为。但这种情况下，它使交通繁忙的AS。所以我想如果我使用jwt，它会减少流量。最后，我相信你的意见。