OLTU 能否提供 JWT 作为访问令牌

Posted 2023-03-10

【中文标题】OLTU 能否提供 JWT 作为访问令牌

【英文标题】：Can OLTU provide JWTs as Access Tokens

【发布时间】：2016-07-30 03:03:58

【问题描述】：

OLTU 在其有限的文档中提供了一个基于生成的 UUID 提供访问令牌的示例。 见here under Token Endpoint

它还有一个使用 JWT（Java Web 令牌）进行服务器到服务器授权的示例here，但仅作为授权授予请求中的不记名令牌

如今，通常使用 JWT 作为访问令牌本身（节省不必要的授权服务器行程）

OLTU 没有提供开箱即用的功能是否有任何原因？ 实现自定义解决方案似乎很容易，但我希望有一个基于 JWT 的 ValueGenerator interface 实现，以便令牌发行者的标准实现 OAuthIssuerImpl 可以生成一个。

有人用 OLTU 做这个吗？

【问题讨论】：

我们正在研究或多或少地做同样的事情，我很难找出 Oltu JWT 代码做了什么或者还没有做什么。该文档几乎不存在。你在这方面有什么成功吗？

【参考方案1】：

问题是，OAuth 的规范并不强制使用 JWT，因此 Oltu 的实现，尊重规范并旨在尽可能合规，使用不包含任何 out 的随机字符串-of-spec 信息。

来自spec：

访问令牌可以有不同的格式、结构和方法 基于资源的利用率（例如，加密属性） 服务器安全要求。访问令牌属性和 用于访问受保护资源的方法超出了 本规范