【问题标题】:OAuth 2.0. How the servers will validate access_tokensOAuth 2.0。服务器将如何验证 access_tokens
【发布时间】:2017-06-29 15:02:39
【问题描述】:

我有两台服务器,比如说AB。服务器A 将验证用户并生成令牌。 现在在服务器 B 上,我如何检查令牌是否有效?我每次都必须通过服务器A 来检查有效令牌吗?

我是否必须将令牌与到期日期一起保存在服务器 B 中,并在服务器 B 上检查验证?

【问题讨论】:

    标签: php validation oauth zend-framework2


    【解决方案1】:

    如果发布访问令牌的服务器(授权服务器)和提供受访问令牌保护的 API 的服务器(资源服务器)不同,简单来说实现时,资源服务器每次验证访问令牌时都必须与授权服务器通信。

    RFC 7662 (OAuth 2.0 Token Introspection) 定义了introspection endpoint 的规范,授权服务器提供给资源服务器以自省访问令牌。资源服务器托管的 API 的实现应该调用自省端点来验证客户端应用程序提供的访问令牌。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2012-08-31
      • 1970-01-01
      • 2013-08-26
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-09-28
      相关资源
      最近更新 更多