Oauth 2.0 在OAuth2.0中，纯资源服务器的职责是什么？_Oauth 2.0

Oauth 2.0 在OAuth2.0中，纯资源服务器的职责是什么？

oauth-2.0

Oauth 2.0 在OAuth2.0中，纯资源服务器的职责是什么？,oauth-2.0,Oauth 2.0,我们正在构建一个“纯”资源服务器。我所说的“纯”是指我们的数据都不是特定于用户的，而这些数据只会被称为我的其他程序，没有用户交互（即cron-job），只有一个用户没有公共访问权限。OAuth2.0上的大多数教程都对有关客户端凭据场景的详细信息进行了介绍，更不用说像这样的了以“纯”资源服务器为例，您可以考虑使用REST Web服务来控制办公大楼中的灯光（打开或关闭）那么，在OAuth2.0中，这种资源服务器的职责是什么据我理解，它必须：检查是否存在承载令牌如果存在令牌，请验证令牌验证

我们正在构建一个“纯”资源服务器。我所说的“纯”是指我们的数据都不是特定于用户的，而这些数据只会被称为我的其他程序，没有用户交互（即cron-job），只有一个用户没有公共访问权限。OAuth2.0上的大多数教程都对有关客户端凭据场景的详细信息进行了介绍，更不用说像这样的了

以“纯”资源服务器为例，您可以考虑使用REST Web服务来控制办公大楼中的灯光（打开或关闭）

那么，在OAuth2.0中，这种资源服务器的职责是什么

据我理解，它必须：

检查是否存在承载令牌

如果存在令牌，请验证令牌

验证需要

在后台请求授权服务器对其进行验证，或者如果使用JWT：

打开令牌的包装

（如果存在）检查签名/MAC匹配

（如果存在）资源在受众中列出

（如果存在）检查令牌是否未过期

如果令牌有效，则允许调用，否则以403和消息响应

所以，我有三个问题

以上是正确的吗

当您知道所有客户端都不是浏览器时，返回302重定向有什么意义吗

我认为你的假设是正确的。但是，您描述了一个非常特殊的场景。在这里使用OAuth2有什么意义？我看不出有任何优势值得额外的复杂性。@Zólyomaisván一个全面的策略，要求所有连接都使用OAuth 2.0进行安全保护，这是由使用检查表的非技术管理人员强制执行的。好吧，你明白了，这是所有获胜的最终理由。；-）