当前位置: 首页 > 知识库问答 >
问题:

资源服务器如何知道我的熊访问令牌有效 [重复]

宿洋
2023-03-14

REST API如何保护自己免受不是由允许的OAuth访问令牌URL生成的访问令牌的攻击

  • 由允许的OAuth访问令牌URL生成的令牌

“授权:Bear MTqvlvbdm73SIsN2PEhsetOwEHW439N2”

  • 黑客生成的令牌

“授权:熊CAqvlvbdm73SIsN2PEhsetowEHW439N2”

共有1个答案

裴育
2023-03-14

这超出了 Oauth 协议的范围:请参阅规范的第 1.5 节,并注意您的问题是步骤 D。该文件说:

如第7节所述,步骤(C)、(D)、(E)和(F)不在本规范的范围内。

第7节说:

客户端通过向资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证访问令牌,并确保其未过期,其范围涵盖所请求的资源。资源服务器用于验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器和授权服务器之间的交互或协调。

但是我注意到它并不总是需要这样。例如,如果您的访问令牌是JWT,那么资源服务器应该能够在不与授权服务器交互的情况下进行验证。

它不在范围之内的原因是因为它取决于您的体系结构。有多种方法可以实现这一点。例如,如果资源服务器和访问服务器共享同一个数据库,则它们不需要相互通信

 类似资料:
  • 当客户端请求资源服务器使用OAuth2.0访问令牌获取受保护的资源时,该服务器如何验证该令牌?OAuth 2.0刷新令牌协议?

  • 我已经实现了SpringBoot2OAuth2OAuthorization服务器。我只想使用Client_凭证来保护资源服务器,我可以从Auth Server获取访问令牌,但当我将其传递给access rest api时,资源服务器不会从授权服务器验证它,并给出无效的访问令牌错误,我正在使用postman来获取访问令牌并访问quest资源服务器。 授权服务器 授权服务器配置 授权服务器Web配置

  • 我有一个旧项目,后端完全由Firebase处理(我没有专用服务器)。我曾经使用邮递员通过 FCM 将主题消息发送到带有标头授权的endpoint : 错误,当我检查firebase文档时,我知道使用FCM传统HTTP API的应用程序应该考虑迁移到HTTP v1 API 我浏览了文档,它说授权密钥现在看起来像 我被如何为我的项目创建这个授权密钥所困扰,这样我就可以用它来触发使用postman或cu

  • > 访问oauth授权URI以启动OAuth2流:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client 重定向到登录页面:http://localhost:8080/server/login 使用代码参数:http://localhost:8080/client?code=hmjo4k处理审

  • 有两个< code >Spring启动应用程序。 有用作 dev okta 帐户 (这两个应用程序是标准的< code>Spring Boot客户端- -安全地将消息发送到-- (它按预期工作) 但我试图弄清楚他们之间发生了什么,交通明智 我试图发现检查它从从获取的令牌的那一刻。 这是标准< code>oauth 2.0流程和我想调试部分的序列图(箭头) 之间有一个通信,器: 我似乎无法确认资源服

  • 我正在研究Nodejs谷歌Api客户端Oauth过程。我遵循oauth的代码示例https://github.com/google/google-api-nodejs-client/blob/master/examples/oauth2.js。 我有一个问题。如何检查访问令牌是否过期,以及如何使用刷新令牌再次获取另一个访问令牌? 更具体地说,让我们假设获取Google+用户配置文件的访问权限,所以