Oauth2协议中如何对accessToken进行校验

Posted 飘渺Jam

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oauth2协议中如何对accessToken进行校验相关的知识,希望对你有一定的参考价值。

大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。

概述

本文来自球友Never Sett* 的提问

看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。

首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上accesstoken访问资源服务器。

其次,Oauth2认证服务器颁发的令牌有两种:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens) 说白了其实就是 uuid 和 jwt 的区别。

好了,现在问题来了,客户端带上 accesstoken 访问资源服务器,那资源服务器如何知道你这accesstoken是合法的呢?

当你是获取到的令牌是 uuid时,资源服务器自己肯定无法判断你令牌的有效性。

此时常见的一般有两种校验逻辑:

远程校验

  1. 授权服务器暴露一个端点,对于有效令牌,它会返回先前向其颁发该令牌的用户所授予的权限,这个端口称为 check_token端点(在很多地方也叫令牌自省端点)。我们可以直接使用认证服务器提供的默认接口/oauth/c

以上是关于Oauth2协议中如何对accessToken进行校验的主要内容,如果未能解决你的问题,请参考以下文章

Oauth2协议中如何对accessToken进行校验

Oauth2;如何解决多个异步 api 调用期间 AccessToken 过期的问题,同时进行?

oauth2.0协议原理

如何在 spring oauth2 OAuth2AccessToken 请求上设置代理或如何覆盖 OAuth2AccessTokenSupport restTemplate 变量?

Spring Security OAuth2 accessToken

oauth2认证后返回#怎么获取accesstoken?