Против какого ресурса проверяется служба переноса / токена доступа?

Question

Когда клиент отправляет запрос в службу ресурсов с токеном доступа OAuth, как ресурс службы проверяет токен доступа? Сервер ресурсов проверяет токен доступа против некоторой сущности?

Answer 1

Проверка токена в отношении определенной операции на конкретном ресурсе выполняется с использованием oauth2 scopes

Способ, которым сервер ресурсов выполняет саму проверку , зависит от реализации , самый простой способ - использовать «автономные токены», например. JWT, так что вы можете получить области из самого токена без дополнительного поиска.

Если ваш сервер предоставляет ресурсы, используя традиционную семантику http REST, простейшая реализация - использовать промежуточное ПО / фильтр http, который просто проверяет uri ресурса и глагол http, чтобы определить достоверность операции

Answer 2

Когда сервер ресурсов получает запрос с токеном доступа OAuth, у него есть две опции для проверки токена доступа.

Первый вариант - связаться с token introspection endpoint сервера авторизации. Эта конечная точка является стандартной конечной точкой, определенной RFC7662 , которая является частью спецификации OAuth 2.0. Согласно этой спецификации. Сервер ресурсов может отправить запрос на самоанализ токена серверу авторизации. Если токен доступа действителен (например, - еще не истек), тогда ответ будет содержать состояние active=true. Пожалуйста, пройдите RFC7662, чтобы понять, как это работает.

Второй вариант - использовать автономный токен. При таком подходе сервер авторизации выдает маркеры доступа на основе JWT. Как только сервер ресурсов получит этот токен, он может просмотреть содержимое JWT, чтобы определить действительность токена доступа.