【发布时间】:2013-04-10 12:54:03
【问题描述】:
这可能是一个愚蠢或幼稚的问题,但是:OAuth2 不记名令牌是否已签名?
换句话说:消费者是否能够验证承载令牌是否由特定的授权服务器颁发?
【问题讨论】:
标签: oauth-2.0 digital-signature access-token
【发布时间】:2013-04-10 12:54:03
【问题描述】:
实际上你必须使用 oauth over https 来负责签名
【讨论】:
-
但是 https 在这里有什么帮助呢?如果我将令牌从身份验证服务器安全地传输到消费者,那很好。但这如何帮助资源服务器验证令牌是否来自它信任的特定身份验证服务器?
-
实际上,在我的情况下,资源服务器和身份验证服务器之间必须存在通信,以便使用数据库。它可以是任何安全通道,使用 https 来确保与您交谈的服务器是受信任的,但要获得信任,您必须将令牌放在标头中
没有。但是there are efforts under way to fix this.HTTPS 确保令牌被安全传输,但它不会告诉你是谁颁发了令牌。
【讨论】: