【问题标题】:What is the default format for the Access token issued by Web API?Web API 颁发的访问令牌的默认格式是什么?
【发布时间】:2021-11-24 02:46:39
【问题描述】:
Web API 发出的访问令牌的默认格式是什么?
我正在为带有个人用户帐户的 ASP.NET Web API 标准模板(用于身份验证)。
据我了解,格式不是 JWT 令牌格式;但是令牌的格式是什么?我尝试进行 Base64 解码,但没有成功。
另外,据我了解,令牌包含与索赔相关的信息,如果我错了,请纠正我。
虽然我使用 Web API 已经有一段时间了,但出于好奇,我还是问了这个问题。
任何正确方向的指导都会有所帮助。谢谢!!
【问题讨论】:
标签:
asp.net
asp.net-web-api
oauth-2.0
jwt
access-token
【解决方案1】:
来自oAuth 2.0 specification(1.4,访问令牌):
访问令牌是用于访问受保护资源的凭据。
访问令牌是一个字符串,表示颁发给
客户端。该字符串通常对客户端是不透明的。代币
表示访问权限的特定范围和持续时间,由
资源所有者,并由资源服务器和授权强制执行
服务器。
....
访问令牌提供了一个抽象层,替换不同的
具有单个
的授权结构(例如,用户名和密码)
资源服务器理解的令牌。 ....
访问令牌可以有不同的格式、结构……基于
资源服务器安全要求。访问令牌属性和
用于访问受保护资源的方法……由配套规范定义
如 [RFC6750]。
底线:没有“访问令牌的默认格式”。这是身份验证服务器和资源服务器应该同意的事情(AKA 合同设计)