Oauth 资源服务器如何知道我的熊访问令牌有效

RESTAPI如何保护自己不受不是由允许的OAuth访问令牌URL生成的访问令牌的影响

• 由允许的OAuth访问令牌URL生成的令牌

“授权：Bear MTqvlvbdm73SIsN2PEhsetOwEHW439N2”

• 黑客生成的令牌

“授权：Bear CAqvlvbdm73SIsN2PEhsetOwEHW439N2”

---

这超出了Oauth协议的范围：请参阅规范的第1部分，并注意您的问题是步骤D。文档中说：

如第7节所述，步骤（C）、（D）、（E）和（F）不在本规范的范围内

:

客户端通过向资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证访问令牌，并确保其未过期，并且其作用域覆盖请求的资源。资源服务器用于验证访问令牌（以及任何错误响应）的方法超出了本规范的范围，但通常涉及资源服务器和授权服务器之间的交互或协调

然而，我注意到它并不总是需要这样。例如，如果您的访问令牌是JWT，那么资源服务器应该能够在不与授权服务器交互的情况下进行验证

它超出范围的原因是因为它取决于您的体系结构。有多种方法可以实现这一点。例如，如果资源服务器和访问服务器共享同一个数据库，则它们不需要相互交谈。

是否有帮助？