Oauth 2.0 作为Oauth2服务提供商,我如何验证哪个应用程序正在向我传递用户令牌?
我对Oauth2有很好的理解,因为我已经作为一个客户端连接了多个服务。现在,我正在致力于实现一个服务,客户端将通过Oauth2连接到该服务Oauth 2.0 作为Oauth2服务提供商,我如何验证哪个应用程序正在向我传递用户令牌?,oauth-2.0,Oauth 2.0,我对Oauth2有很好的理解,因为我已经作为一个客户端连接了多个服务。现在,我正在致力于实现一个服务,客户端将通过Oauth2连接到该服务 只接受任何有效的用户访问令牌而不验证给我的应用程序实际上就是我第一次给令牌的应用程序,这似乎是错误的。在Oauth2规范以及包括在内的几篇文章中,没有讨论这个主题。除了他们给我的用户令牌之外,客户是否有标准的方式告诉我他们是谁?没有标准的方式来识别客户,这是规范中故意遗漏的 如果您可以在实现中自由地做出自己的选择,那么最接近的方法就是使用JWS令牌。它们包含
只接受任何有效的用户访问令牌而不验证给我的应用程序实际上就是我第一次给令牌的应用程序,这似乎是错误的。在Oauth2规范以及包括在内的几篇文章中,没有讨论这个主题。除了他们给我的用户令牌之外,客户是否有标准的方式告诉我他们是谁?没有标准的方式来识别客户,这是规范中故意遗漏的 如果您可以在实现中自由地做出自己的选择,那么最接近的方法就是使用JWS令牌。它们包含JSON格式的授权数据,经过签名,但未加密。受保护的资源本身可以轻松地验证JWS令牌,而无需咨询授权服务器,并且可以根据需要提取任何授权细节,例如客户端id 另一种可能是向请求中显式添加客户机id(参见示例),但这远不是标准