将OAuth请求与响应匹配

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了将OAuth请求与响应匹配相关的知识,希望对你有一定的参考价值。

专注于authorization_code授权类型(服务器到服务器)我很困惑客户端(在这种情况下是一个Web服务器应用程序)如何匹配对传出请求的响应(肯定)。

响应是URL中的代码重定向(对令牌部分不感兴趣)。 Web服务器如何知道此代码属于谁?

答案

在与OAuth合作几周后,我现在明白了它是如何工作的。

如果我们正在谈论授予应用程序A登录用户U授权访问资源R.

  1. 用户U在应用程序A中启动并在浏览器中登录,这意味着在大多数情况下使用会话令牌设置cookie。
  2. 用户U被重定向到他将登录的应用程序/资源R(或者使用资源R会话cookie自动登录)。
  3. 假设他授予请求,然后他在浏览器中将代码C重定向回应用程序A.
  4. 这里,应用程序A表单步骤1的会话cookie再次呈现给服务器,但是与代码C一起。应用程序A的服务器然后可以使用该代码来获得用户U的令牌。

以上是关于将OAuth请求与响应匹配的主要内容,如果未能解决你的问题,请参考以下文章

Azure AD B2C:请求中的重定向 URI 与授权给 OAuth 客户端的不匹配

Oauth2 安全配置匹配器请求过滤未按预期工作

redirect_uri_mismatch 请求中的重定向 URI 与授权给 OAuth 客户端的重定向 URI 不匹配

Google OAUTH:请求中的重定向URI与注册的重定向URI不匹配

OAuth 中的 CORS:对预检请求的响应未通过访问控制检查

Alamofire 响应与请求不匹配