资源服务器如何知道我的熊访问令牌有效 [重复]
REST API如何保护自己免受不是由允许的OAuth访问令牌URL生成的访问令牌的攻击?
- 由允许的OAuth访问令牌URL生成的令牌
“授权:Bear MTqvlvbdm73SIsN2PEhsetOwEHW439N2”
- 黑客生成的令牌
“授权:熊CAqvlvbdm73SIsN2PEhsetowEHW439N2”
共有1个答案
这超出了 Oauth 协议的范围:请参阅规范的第 1.5 节,并注意您的问题是步骤 D。该文件说:
如第7节所述,步骤(C)、(D)、(E)和(F)不在本规范的范围内。
第7节说:
客户端通过向资源服务器提供访问令牌来访问受保护的资源。资源服务器必须验证访问令牌,并确保其未过期,其范围涵盖所请求的资源。资源服务器用于验证访问令牌(以及任何错误响应)的方法超出了本规范的范围,但通常涉及资源服务器和授权服务器之间的交互或协调。
但是我注意到它并不总是需要这样。例如,如果您的访问令牌是JWT,那么资源服务器应该能够在不与授权服务器交互的情况下进行验证。
它不在范围之内的原因是因为它取决于您的体系结构。有多种方法可以实现这一点。例如,如果资源服务器和访问服务器共享同一个数据库,则它们不需要相互通信。
-
当客户端请求资源服务器使用OAuth2.0访问令牌获取受保护的资源时,该服务器如何验证该令牌?OAuth 2.0刷新令牌协议?
-
我已经实现了SpringBoot2OAuth2OAuthorization服务器。我只想使用Client_凭证来保护资源服务器,我可以从Auth Server获取访问令牌,但当我将其传递给access rest api时,资源服务器不会从授权服务器验证它,并给出无效的访问令牌错误,我正在使用postman来获取访问令牌并访问quest资源服务器。 授权服务器 授权服务器配置 授权服务器Web配置
-
我有一个旧项目,后端完全由Firebase处理(我没有专用服务器)。我曾经使用邮递员通过 FCM 将主题消息发送到带有标头授权的endpoint : 错误,当我检查firebase文档时,我知道使用FCM传统HTTP API的应用程序应该考虑迁移到HTTP v1 API 我浏览了文档,它说授权密钥现在看起来像 我被如何为我的项目创建这个授权密钥所困扰,这样我就可以用它来触发使用postman或cu
-
> 访问oauth授权URI以启动OAuth2流:http://localhost:8080/server/oauth/authorize?response_type=code&client_id=client 重定向到登录页面:http://localhost:8080/server/login 使用代码参数:http://localhost:8080/client?code=hmjo4k处理审
-
有两个< code >Spring启动应用程序。 有用作 dev okta 帐户 (这两个应用程序是标准的< code>Spring Boot客户端- -安全地将消息发送到-- (它按预期工作) 但我试图弄清楚他们之间发生了什么,交通明智 我试图发现检查它从从获取的令牌的那一刻。 这是标准< code>oauth 2.0流程和我想调试部分的序列图(箭头) 之间有一个通信,器: 我似乎无法确认资源服
-
我正在研究Nodejs谷歌Api客户端Oauth过程。我遵循oauth的代码示例https://github.com/google/google-api-nodejs-client/blob/master/examples/oauth2.js。 我有一个问题。如何检查访问令牌是否过期,以及如何使用刷新令牌再次获取另一个访问令牌? 更具体地说,让我们假设获取Google+用户配置文件的访问权限,所以