dotnetopenauth OAuth2AuthorizationServer 示例修改 ResourceServerEncryptionPublicKey

Question

我正在研究 OAuthAuthorizationServer 示例（由 sourceforge 提供），我注意到 RSAParameters ResourceServerEncryptionPublicKey 具有不需要硬编码的 cmets，并且对其含义的描述模糊。但是，关于实际实施，我无法遵循。

具体来说：“在一个真实的应用程序中，授权服务器需要根据授权请求确定访问令牌需要为哪个资源服务器进行编码。然后它需要查找该资源服务器的公钥并使用它来为客户端准备访问令牌以用于该资源服务器。”

此评论中描述的资源服务器是 Google/Facebook 等吗？我们将如何查找这些公钥？我离那里很远吗？目标是遵循here 列出的问题。该问题的回答是可靠的，但遗漏了一些更丰富的细节。

Answer 1

Google 和 Facebook 将不接受您发布的令牌，所以不，您的资源服务器不是那些网站。资源服务器是向客户端提供用户数据的服务器。通常，这也是您的网站。事实上，它通常与授权服务器本身是同一个站点。问问自己“在我将授权服务器创建的访问令牌发送给客户端后，它将在哪里使用？”答案是您的资源服务器。

如果你只有一个资源服务器，你应该为它创建一个公钥/私钥对，并将公钥复制到授权服务器中。同样，您应该为您的授权服务器创建另一个密钥对并将其公钥复制到您的资源服务器中。