我已经阅读了很多有关OAuth2的文章,试图弄清楚它,但是我仍然对某些事情感到困惑。
我了解到客户端已向OAuth提供者(例如Google)授权,并允许资源服务器访问用户的个人资料数据。然后,客户端可以将访问令牌发送到资源服务器,并获得资源。
但是,在任何文档中似乎都没有涵盖的内容是,当客户端应用向资源服务器请求资源并向其传递访问令牌时,会发生什么。到目前为止,我阅读的所有内容都指出资源服务器只是以请求的资源作为响应。
但这似乎是一个巨大的漏洞,资源服务器肯定必须以某种方式验证访问令牌,否则我可以伪造任何旧请求并传递旧的,被盗的,伪造的或随机生成的令牌,它只会接受它。
谁能指出我对OAuth2的简单理解,因为到目前为止,我阅读的内容仍不完整。
Answers:
找到了。埋在规格中。他们说资源服务器应使用auth服务器验证访问令牌,但该访问令牌不在文档范围内。可惜,我会认为令牌验证是重要的一部分。
令牌验证通常以2种方式之一进行处理。
1)使用预共享密钥对令牌进行加密签名。对于分布式的,激增的系统来说,这显然有缺点。
2)授权服务器(AS)提供用于令牌验证或自省的端点。该方法已在2015年10月的IETF RFC 7662中标准化,请参阅:https://tools.ietf.org/html/rfc7662
此堆栈溢出问题/解答包含Google和Github的示例:https : //stackoverflow.com/questions/12296017/how-to-validate-an-oauth-2-0-access-token-for-a-resource-server