我们正在使用 YII 框架创建 REST API 并实现 oAuth 2。
我们面临一个奇怪的问题,当我们尝试访问资源并通过“授权请求标头字段”发送访问令牌时,我们得到了预期的输出。 例如 curl -i -H "Accept:application/json" -H "Authorization: Bearer XXXXXX"
而当我们尝试通过“URI 查询参数”发送访问令牌时,我们得到的响应是“未授权”。
例如
https://server.example.com/resource?access_token=XXXXXX&p=q
您的建议对我们很有帮助。
【问题讨论】:
RFC 6750 (Bearer Token Usage) 定义了 3 种将访问令牌传递给受保护资源端点的方法。
其中只有第一种方式是强制性的。您的授权服务器似乎不支持第三种方式。
下面是一个支持 PHP 中所有 3 种方式的示例。有关详细信息以及 Ruby 和 Java 中的其他示例,请参阅“Protected Resource”中的“3. Extract Access Token”。
/**
* Function to extract an access token from a request.
*/
function extract_access_token()
{
// The value of Authorization header.
$header = $_SERVER['HTTP_AUTHORIZATION'];
// If the value is in the format of 'Bearer access-token'.
if ($header != null && preg_match('/^Bearer[ ]+(.+)/i', $header, $captured))
{
// Return the value extracted from Authorization header.
return $captured;
}
if ($_SERVER['REQUEST_METHOD'] == 'GET')
{
// Return the value of 'access_token' query parameter.
return $_GET['access_token'];
}
else
{
// Return the value of 'access_token' form parameter.
return $_POST['access_token'];
}
}
我不知道 Yii,但我的猜测是该框架不包含上述代码。
【讨论】: