客户端向资源服务器提供访问令牌以访问受保护资源。 资源服务器必须验证并验证访问令牌是否有效且未过期。
发送凭据有两种标准方式 -
Bearer Token - 访问令牌只能作为授权HTTP头中的后备选项放在POST请求正文或GET URL参数中。
它们包含在授权标题中,如下所示 -
Authorization: Bearer [token-value]
例如 -
GET/resource/1 HTTP /1.1 Host: example.com Authorization: Bearer abc...
MAC - 使用请求的元素计算加密Message Authentication Code (MAC)并将其发送到授权头。 在接收到请求之后,然后由资源所有者比较并计算MAC。
下表显示了访问受保护资源的概念。
它用于获取授权代码令牌以访问系统中的所有者资源。
如果受保护资源请求包含无效访问令牌,则资源服务器包括“WWW-Authenticate”响应头字段。
