【发布时间】:2017-06-29 15:02:39
【问题描述】:
我有两台服务器,比如说A 和B。服务器A 将验证用户并生成令牌。
现在在服务器 B 上,我如何检查令牌是否有效?我每次都必须通过服务器A 来检查有效令牌吗?
我是否必须将令牌与到期日期一起保存在服务器 B 中,并在服务器 B 上检查验证?
【问题讨论】:
标签: php validation oauth zend-framework2
我有两台服务器,比如说A 和B。服务器A 将验证用户并生成令牌。
现在在服务器 B 上,我如何检查令牌是否有效?我每次都必须通过服务器A 来检查有效令牌吗?
我是否必须将令牌与到期日期一起保存在服务器 B 中,并在服务器 B 上检查验证?
【问题讨论】:
标签: php validation oauth zend-framework2
如果发布访问令牌的服务器(授权服务器)和提供受访问令牌保护的 API 的服务器(资源服务器)不同,简单来说实现时,资源服务器每次验证访问令牌时都必须与授权服务器通信。
RFC 7662 (OAuth 2.0 Token Introspection) 定义了introspection endpoint 的规范,授权服务器提供给资源服务器以自省访问令牌。资源服务器托管的 API 的实现应该调用自省端点来验证客户端应用程序提供的访问令牌。
【讨论】: