Клиент получает действительный токен доступа, я хотел бы знать, могу ли я сделать это с OAuth2 / OpenID:
- Я не хочу, чтобы "клиент" обращался к конфиденциальной информации пользователя, такой как, например, "contract_ID".
- Только мой сервер ресурсов мог получить доступ к этой конфиденциальной информации для выполнения некоторых операций.
Многие примеры в Интернете показывают, что запрос / userinfo выполняется "клиентом" для доступа к некоторым пользовательским данным.
Так как же разрешить доступ к / userinfo только с ressourceserver?
Ресурс-сервер имеет "токен доступа" на входе. Как использовать этот access_token для доступа к конфиденциальной информации, не позволяя «клиенту» получить доступ к этой информации?
Я сделал две схемы, чтобы объяснить: