2
身份验证与资源服务器之间的OAuth v2通信
我在了解OAUTH-v2的工作方式时遇到了一些麻烦。 该OAuth的版本2的规格如下: 访问受保护的资源 客户端通过向 资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证 访问令牌,并确保它没有过期,并且其范围涵盖 所请求的资源。资源服务器用来 验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器与授权 服务器之间的交互或协调。 在实践中,资源服务器和授权服务器之间的交互如何工作? 资源服务器如何确定接收到的访问令牌有效? 资源服务器如何从令牌中提取允许的作用域,以查看是否应授予对特定资源的访问权限?范围是在访问令牌中编码的,还是资源服务器首先必须与授权服务器联系? 如何在资源服务器和授权服务器之间建立信任? 访问令牌属性和用于访问受保护资源的方法超出了本规范的范围,并由随附规范定义。 有人可以提供令牌属性的示例吗?