如何在资源服务器中验证关于 oauth2 的 access_token答案

【问题标题】：how to verify access_token in resource server about oauth2如何在资源服务器中验证关于 oauth2 的 access_token
【发布时间】：2017-01-12 23:53:12
【问题描述】：

我做了资源服务器和认证服务器

但我不懂建筑

1.2。协议流程

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

 +--------+                                           +---------------+
 |        |--(A)------- Authorization Grant --------->|               |
 |        |                                           |               |
 |        |<-(B)----------- Access Token -------------|               |
 |        |               & Refresh Token             |               |
 |        |                                           |               |
 |        |                            +----------+   |               |
 |        |--(C)---- Access Token ---->|          |   |               |
 |        |                            |          |   |               |
 |        |<-(D)- Protected Resource --| Resource |   | Authorization |
 | Client |                            |  Server  |   |     Server    |
 |        |--(E)---- Access Token ---->|          |   |               |
 |        |                            |          |   |               |
 |        |<-(F)- Invalid Token Error -|          |   |               |
 |        |                            +----------+   |               |
 |        |                                           |               |
 |        |--(G)----------- Refresh Token ----------->|               |
 |        |                                           |               |
 |        |<-(H)----------- Access Token -------------|               |
 +--------+           & Optional Refresh Token        +---------------+

我阅读了 oauth2 文档

我不明白，

access_token make be in auth server，这个图不是verity方式，但是resource server如何验证呢？

【问题讨论】：

标签： node.js login verify oauth2

【解决方案1】：

资源服务器如何验证令牌超出了 OAuth2 规范的范围。现在对于您的用例，您可以执行以下操作： 1. 在 Authz Server 上提供自省端点，用于验证令牌的真实性并以该令牌的解码内容进行响应 2. Authz Server 和 Resource server 之间使用证书机制建立信任。在这里，您再次有两个选择：一种。如果您希望 Authz 服务器处于控制之中，则 Authz 服务器可以使用私钥对令牌进行签名，而资源服务器可以使用 AuthzServer 提供的公共证书来验证签名湾。做相反的事情，在 Authz 服务器上，可以上传资源服务器的证书，Authz 服务器使用该证书签署令牌，资源服务器使用它的私钥来验证内容。

【讨论】：

【解决方案2】：

如果您想了解更多关于实际实现的信息，您可以随时查看 Thinktecture 的代码：https://github.com/IdentityModel/Thinktecture.IdentityModel/tree/master/source

他们实现了一个完整的系统，然后被许多需要 OAuth2 系统的人使用。我也有一篇关于这个主题的文章，欢迎您查看：https://eidand.com/2015/03/28/authorization-system-with-owin-web-api-json-web-tokens/

【讨论】：

谢谢。我得到了它。我想知道如何知道关于轻量交通的真实性检查。有人说。如果你想验证令牌。你总是要求 AS。但是这种情况下它会给 AS 带来很大的流量。所以我想如果我使用 jwt 会减少流量。最后我以你的意见确定。